高 职高 专 “ 十 二 五 ”规划 教材 
mam 21 世 纪 全 国 高 职高 专 计算 机 系列 实用 规划 教材 


лімет 





(3m) 


网 络 安全 基础 教程 与 实 训 


ўуз == 





7052 Ең 


"理论 联系 实际 ， 应 对 职业 需求 
"15 个 应 用 案例 ， 开 拓 学 生 杭 野 
“23 个 实 训 项 目 ， 提 高 实 操 能 力 





де 2.7 НА 


PEKING UNIVERSITY PRESS 




















21 世纪 全 国 高 职高 专 计 算 机 系列 实用 规划 教材 








网 络 安全 基础 教程 与 实 训 


ЕГЕ 
| ES 


Ет 


55 И 
ҰЖ д 


@ лек ШЕ 


=? PEKING UNIVERSITY PRESS 





内 容 简 介 


本 书 以 《教育 部 关于 全 面 提高 高 等 职业 教育 教学 质量 的 若干 意见 》 为 指导 ， 以 《教育 部 高 等 学 校 高 职高 


专 计算 机 类 专业 建设 参考 方案 》 为 重要 的 参考 依据 ， 以 传授 基本 概念 和 核心 技术 、 训 
写 而 成 。 第 3 版 在 2010 年 出 版 的 第 2 版 基础 上 ， 在 理论 知识 方面 进行 了 必要 的 


络 安全 中 一 些 基础 但 很 抽象 的 概念 讲解 更 加 准确 、 精 练 、 


练 学 生 实 用 技能 为 主旨 
修改 和 补充 ， 力 求 使 网 





严谨 、 实 用 和 通俗 易 懂 ， 同 时 还 增加 了 网 络 安全 新 


技术 、 新 动态 介绍 。 在 实 训 方面 补充 了 多 个 新 项 目 ， 实 训 教 学 无 需 配备 特殊 设备 ， 在 公共 计算 机 机 房 就 能 顺 


利 完成 。 
本 书 共 分 11 章 ， 主要 内 容 包括 网 络 安全 概论 、 网 络 监听 与 TCP/IP 协议 分 析 、 密 





码 技术 、 操 作 系统 安全 


病毒 分 析 与 防御 、Intemet 应 用 服务 安全 、 防 火 墙 、 入 侵 检测 系统 、 网 络 攻击 与 防范 、VPN 技术 和 综合 实 


训 。 


教材 。 < 
图 书 在 版 编目 (C1P) 数 据 
网 络 安全 基础 教程 与 实 训 / 尹 少 平 主编 . 一 3 版 . 一 北 高 
(21 世纪 全 国 高 职高 专 计算 机 系列 实用 规划 教 本 
ISBN 978-7-301-23521-8 

Г. ORe П. OF- Ш. @ 计 算 机 


Ph 国 版 本 图 书馆 CIP 数据 核 нр хў 
书 ren x 



















著作 责任 者 ， 尹 少 Z Ез хў 

策 划 编 ЕН < 
мемен J Ў 
Г. 


Ë WE 495: ISBN 978-7-301-23521-8/ТР • 1315 

HH R & $r: 北京 大 学 出 版 社 

地 hk: 北京 市 海淀 区 成 府 路 205 100871 

网 hi: http:/www.pup.cn ”新 浪 官方 微 博 ，@ 北 京 大 学 出 版 社 
电子 信箱 : pup_6@163.com 


学 出 版 社 ，2014.1 


本 书 既 可 作为 高 职高 专 院 校 计算 机 及 相关 专业 的 教材 ， И“ амы 训 


байланы 职业 教育 一 教材 IV. CDTP393.08 


电 话 : 邮购 部 62752015 发行 部 62750672 ”编辑 部 62750667 ”出 版 部 62754962 


经 销 Жо 新 华 书店 
787 毫米 X1092 毫米 16 开 本 19.25 印张 ”447 千 字 
2005 年 9 月 第 1 版 
2010 年 2 月 第 2 版 
2014 年 1 月 第 3 版 ”2014 年 1 月 第 1 次 印刷 (总 第 13 次 印刷 ) 
定 价 : 38.00 元 





未 经 许可 ， 不 得 以 任何 方式 复制 或 抄袭 本 书 之 部 分 或 全 部 内 容 。 
版 权 所 有 ， 侵 权 必 究 
举报 电话 : 010-62752024 ”电子 信箱 : fd@pup. pku. edu. сп 


第 3 版 ”前言 


人 们 正在 经 历 着 前 所 未 有 的 全 球 性 信息 化 浪潮 。 信 息 化 就 像 一 把 双 刃 剑 ， 在 实现 便捷 
的 信息 交流 与 共享 的 同时 ， 对 国家 和 社会 安全 以 及 公民 个 人 合法 权益 也 造成 了 现实 危害 和 
潜在 威胁 。 因 此 加 强 对 信息 网 络 安全 技术 和 管理 的 学 习 与 研究 ， 无 论 是 对 个 人 还 是 组 织 、 
机 构 ， 甚 至 政府 、 国 家 都 其 有 非 同 寻常 的 意义 。 

本 书 以 《教育 部 关于 全 面 提高 高 等 职业 教育 教学 质量 的 项 区 意见 》 为 指导 ， 以 《教育 
部 高 等 学 校 高 职高 专 计算 机 类 专业 建设 参考 方案 》 为 重要 的 参 雾 依据， Us 
核心 技术 、 训 练 学 生 实用 技能 为 主旨 编写 而 成 。 千 受到 了 读者 欢迎 ， 在 高 校 网 络 
安全 教学 中 被 大 量 使 用 ， 编 者 在 此 深 表 感 谢 。 дік ИЗИ Y 2010 年 第 2 版 的 大 岗 ， 





























方便 老 用 户 延 续 使 用 ， 在 理论 方面 则 进行 改 和 补充 ， 特 别 是 第 1 С 和 
第 4 章 的 内 容 ， 力 求 使 网 络 安全 中 олуы 抽象 的 概念 讲解 更 加 准确 、 精 练 、 严 谨 、 
实用 和 通俗 易 懂 ， 同 时 还 增加 PN 技术 、 新 动态 介绍 。 实 训 方面 补 ATZA 
目 ， 删 除了 相对 过 时 wg 中 实施 的 实 训 项 史实 训 教 学 无 需 配 备 特殊 设备 ， 


在 公共 计算 机 机 房 就 能 顺 条 

а :的 基础 知识 Ж 进行 了 概要 性 描述 ， 第 2 章 主要 
se 及 使 用 方法 ; sari upa 码 算法 的 相关 知识 ， 包 括 基本 
Mu № 第 4 章 详 细 介 绍 泊 SWindows 2000 操作 系统 的 安全 防护 知识 ; 第 5 
章 着 重 分 析 子 病 壮 的 特征 和 防御 方法 ;第 6 章 对 常用 网 络 应 用 服务 的 安全 进行 了 详细 的 讨 
rh - 些 可 行 的 安全 措施 ， 第 7 章 全 面 介绍 了 防火 墙 技术 ;第 8 章 分 析 了 入 侵 检 
WER: 第 9 章 介 绍 了 典型 的 网 络 攻击 和 相应 的 防范 技术 ; 第 10 章 介 绍 了 VPN 技术 应 用 
及 操作 配置 方法 。 本 书 配套 有 实 训 所 用 软件 、 电 子 教案 、 习 题 ， 便 于 教学 和 自学 。 
学 完 本 书 ， 学 生 应 具备 网 络 协议 分 析 、 操 作 系统 安全 配置 、 密 码 技术 应 用 、 防 病毒 软 
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第 2 版 在 第 1 版 基础 上 做 了 较 大 修整 ， 扩 充 了 应 用 案例 和 实 训 项 目 ， 删 除了 较为 陈旧 
的 示例 ， 增 加 了 网 络 安全 新 技术 内 容 ， 内 容 更 加 全 面 和 系统 ， 表 述 更 为 规范 和 准确 ， 基 本 
能 够 涵盖 高 职高 专 学 生 对 于 网 络 安全 技术 应 当 掌 握 和 了 解 的 知识 和 方法 。 针 对 第 1 版 的 改动 
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、 第 8 章 和 第 10 章 内 容 做 了 适当 的 改 浙 ， 在 此 不 一 一 歼 述 。 
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人 们 正在 经 历 着 前 所 > 全 球 性 信息 化 动 通信 网 与 互联 网 正在 融合 形成 移 





动 互 联网 术 方兴未艾 。 这 一 切 都 在 深刻 地 影响 着 
国家 的 政治 、 铬 成 以 及 人 们 日 常生 活 的 行为 方式 。 

然而 信 ， -把 双 刃 剑 ， 在 实现 宣 捷 的 信息 交 流 与 共享 、 促 进 社会 发 展 、 丰 富 社 
会 生活 的 同时 ， 也 因 其 本 身 具 有 的 开放 性 与 自由 性 ， 加 上 人 为 攻击 与 破坏 ， 对 公民 个 人 合 





法 权益 、 社 会 公共 利益 以 及 国家 安全 造成 了 现实 危害 和 潜在 威胁 。 因 此 加 强 对 信息 网 络 安 
全 技术 和 管理 的 学 习 与 研究 ， 无 论 是 对 个 人 还 是 组 织 、 机 构 ， 甚 至 政府 、 国 家 都 有 着 非 同 
寻常 的 意义 。 

信息 网 络 具 有 与 生 俱 来 的 开放 性 和 自由 性 ， 这 为 其 迅速 普及 和 发 展 提供 了 可 能 ， 但 
时 也 对 安全 提出 了 挑战 ， 主 要 表现 在 以 下 两 个 方面 。 

(1) 开放 性 的 网 络 导致 网 络 的 技术 是 全 开放 的 ， 任 何 组 织 和 个 人 都 可 能 获得 ， 因 而 网 
络 所 面临 的 破 环 和 攻击 可 能 是 多 方面 的 。 例 如 ， 任 何 具 有 不 良 企图 的 黑客 可 以 对 物理 传输 
线路 实施 攻击 ， 也 可 以 对 网 络 通信 协议 实施 攻击 ; 可 以 对 软件 实施 攻击 ， 也 可 以 对 硬件 实 
施 攻 击 。 网 络 的 国际 化 还 意味 着 网 络 的 攻击 不 仅仅 来 自 本 地 网 络 用 户 ， 它 可 以 来 自 Internet 
上 的 任何 一 台 主 机 ， 也 就 是 说 ， 网 络 安全 所 面临 的 是 一 个 国际 化 的 挑战 。 

(2) 自由 意味 着 网 络 最 初 对 用 户 的 使 用 并 没有 提供 任何 的 技术 约束 ， 用 户 可 以 自由 地 
访问 网 络 ， 自 由 地 使 用 和 发 布 各 种 类 型 的 信息 而 不 受 任何 的 法 律 限制 。 
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1.1.1 网 络 威胁 的 主要 表现 
目前 网 络 中 存在 的 威胁 主要 表现 在 以 下 几 个 方面 。 
1， 非 授权 访问 


没有 预先 经 过 同意 就 使 用 网 络 或 计算 机 资源 被 看 做 是 非 授权 访问 ， 如 有 意 避 开 系统 访 
问 控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正常 使 用 ， 或 擅自 扩大 权限 ， 越 权 访问 信息 。 非 授 
权 访 问 主要 包括 以 下 几 种 形式 ， 假冒、 身份 攻击 、 非 法 用 户 进入 网 络 系统 进行 操作 、 合 法 
户 以 未 授权 方式 进行 操作 等 。 

2. най АЕА, 


泄漏 或 丢失 信息 指 敏 感 数 据 被 有 意 泄漏 出 去 或 丢失 ， аҚш. 信息 在 传输 中 丢失 或 
Наст “дж” ee 信息 ， 或 通过 对 信息 流向 、 


























流量 、 通 信 频 度 和 长 度 等 参数 的 分 析 ， 得 到 用 户 密 嫩 \ 婴 号 等 重要 信息 )， 信 息 在 存储 介质 
中 丢失 或 泄漏 等 。 
3， 破 坏 数据 完整 性 


破坏 数据 完整 性 指 以 非法 FR 
要 信息 ， екы 1” 












的 使 用 权 ， 删 除 、 修 改 、 插 入 或 重 发 某 些 重 
АИЛ. Я 以 干扰 用 户 的 正常 使 用 等 。 





4. 拒绝 服务 攻击 

=== ， 改 变 其 正常 的 作业 流程 ， 执 行 无 关 
程序 来 减 慢 网 络 用 使 其 瘫痪 mi 的 使 用 ， 导致 合法 用 户 被 排斥 而 不 能 进 
Шыны: ияя ДЕ 


5. MeN gen 
通过 网 络 传播 计算 机 病毒 、 木 马 等 恶意 代码 ， 其 破坏 性 远 远 高 于 单机 系统 ， 而 且 用 户 
很 难 防范 。 
112 网络 安全 的 概念 


国际 标准 化 组 织 (ISO) 引 用 ISO 74982 文献 中 对 安全 的 定义 是 “安全 就 是 最 大 限度 地 减 
少数 据 和 资源 被 攻击 的 可 能 性 ”。 

按照 全 国 科学 技术 名 词 审定 委员 会 (http://www.cnctst.gov.cnm/) 给 出 的 定义 ， 网 络 安全 是 
指 网 络 系统 的 硬件 、 软 件 及 其 中 数据 受到 保护 ， 不 受 偶然 的 或 者 恶意 的 破坏 、 更 改 、 泄 露 ， 
保证 系统 连续 可 靠 地 运行 ， 网 络 服务 不 中 断 的 措施 。 
网 络 安全 的 目标 主要 包括 以 下 几 方 面 。 
1. 可靠 性 
可 靠 性 是 网 络 信息 系统 能 够 在 规定 条 件 和 规定 的 时 间 内 完成 规定 的 功能 特性 。 可 靠 性 
是 系统 安全 的 最 基本 要 求 之 一 ， 是 所 有 网 络 信息 系统 的 建设 和 运行 目标 。 网 络 信息 系统 的 
可 靠 性 测度 主要 有 3 种 : 抗 毁 性 、 生 存 性 和 有 效 性 。 

(1) 抗 毁 性 是 指 系 统 在 人 为 破坏 下 的 可 靠 性 。 比 如 ， 部 分 线路 或 节点 失效 后 ， 系 统 是 
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和 否 仍然 能 够 提供 一 定 程度 的 服务 。 增 强 抗 毁 性 可 以 有 效 地 避免 因 各 种 灾害 (战争 、 地 震 等 ) 





造成 的 大 面积 瘫痪 事件 。 

















但 是 却 造成 质量 指标 下 降 、 平 均 延 时 增加 、 线 路 阻塞 等 现象 。 





(2) 生存 性 是 在 随机 破坏 下 系统 的 可 靠 性 。 生 存 性 主要 反映 随机 性 破坏 和 网 络 拓扑 结 
构 对 系统 可 靠 性 的 影响 。 这 里 ， 随 机 性 破坏 是 指 系统 部 件 因为 自然 老化 等 造成 的 自然 失效 。 
(3) 有 效 性 是 一 种 基于 业务 性 能 的 可 靠 性 。 有 效 性 主要 反映 在 网 络 信息 系统 的 部 件 失 
效 的 情况 下 ， 满 足 业 务 性 能 要 求 的 程度 。 比 如 ， 网 络 部 件 失效 虽然 没有 引起 连接 性 故障 ， 



































技术 熟练 程度 、 责 任 心 和 品德 等 素质 方面 的 影响 。 因 上 
理 以 及 合理 的 人 机 界面 是 提高 可 靠 性 的 重要 方面 。 
络 成 功 运 行 的 概率 。 这 里 的 环境 主要 是 指 自然 王 

2. 可 用 性 

nil ar i 
允许 授权 用 户 或 实体 使 用 
анар У ваа 网 络 信 


的 教育 、 培 养 、 































用 性 fJ 系统 正常 使 
可 用 性 还 应 该 3 


度量 。 








可 靠 性 主要 表现 在 硬件 可 靠 性 、 软 件 可 靠 性 、 人 员 可 靠 性 、 环 境 可 靠 性 等 方面 。 硬 件 
可 靠 性 最 为 直观 和 常见 。 软 件 可 靠 性 是 指 在 规定 的 时 间 内 程序 成 功 运行 的 概率 。 人 员 可 靠 
性 是 指 和 人员 成 功 地 完成 工作 或 任务 的 概率 。 人 员 可 靠 性 在 整个 系统 可 靠 性 中 扮演 重要 角色 ， 
因为 系统 失效 的 大 部 分 原因 是 人 为 差错 造成 的 。 人 的 行为 要 受到 生理 和 心理 的 影响 ， 受 到 





训练 和 管 


是 指 在 规定 的 环境 内 保证 网 





需求 使 用 的 特性 , 即 网 络 信息 服务 在 需要 时 ， 
络 部 分 受 损 或 需要 降级 使 用 时 ， 仍 能 为 授权 用 
Ы 
方面 的 、 有 时 还 有 时 间 要 求 。 可 


系统 最 基 


Eb =P. нің J! 、 访 问 控制 (对 用 户 的 权限 进行 控制 ， 只 
通道 的 非法 访问 。 包 括 自主 访问 控制 和 强制 访 


БЕЙІНІ ЛУ > ИНЕДЕН? 

问 控制 )、 pe :防止 业务 流量 过 度 集中 而 引起 网 络 阻塞 )、 路 由 
选择 控制 (选择 那些 稳定 可 靠 的 子 网 ， 中 继 线 或 链 路 等 )、 审 计 跟 踪 ( 把 网 络 信息 系统 中 发 生 
的 所 有 安全 事件 情况 存储 在 安全 审计 跟踪 之 中 ， 以 便 分 析 原 因 ， 分 清 责任 ， 及 时 采取 相应 


的 措施 。 审 计 跟 踪 的 信息 主要 包括 事件 类 型 、 客 体 等 级 、 事 件 时 间 、 事 件 信息 
以 及 事件 统计 等 方面 的 信息 )。 


3. 保密 性 

















、 事 件 回答 





保密 性 是 网 络 信息 不 被 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 ， 或 供 其 利用 的 特性 ， 即 防 














止 信息 泄露 给 非 授 权 个 人 或 实体 ， 信 息 只 为 授权 用 户 使 用 的 特性 。 保 密 性 是 在 可 妇 
目 性 基础 之 上 ， 保 障 网 络 信息 安全 的 重要 手段 。 





















































常用 的 保密 技术 包括 防 侦 听 (使 对 手 侦 听 不 到 有 用 的 信息 )、 防 辐射 (防止 有 用 
种 途径 辐射 出 去 )、 信 息 加 密 (在 密 钥 的 控制 下 ， 用 加 密 算 法 对 信息 进行 加 密 处 理 。 




















手 得 到 了 加 密 后 的 信息 也 会 因为 没有 密 钥 而 无 法 读 懂 有 效 信息 )、 物 理 保密 ( 利 
方法 ， 如 限制 、 隔 离 、 掩 蔽 、 控 制 等 措施 ， 保 护 信息 不 被 泄露 )。 


4. 完整 性 

















靠 性 和 可 


信息 以 各 
即使 对 
各 种 物理 


完整 性 是 网 络 信息 未 经 授权 不 能 进行 改变 的 特性 ， 即 网 络 信息 在 存储 或 传输 过 程 中 保 
持 不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 完 整 性 
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是 一 种 面向 信息 的 安全 性 ， 它 要 求 保持 信息 的 原样 ， 即 信息 的 正确 生成 、 存 储 和 传输 。 

完整 性 与 保密 性 不 同 ， 保 密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ， 而 完整 性 则 要 求 信 息 
不 致 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 设备 故障 、 误 码 (传输 、 处 理 
和 存储 过 程 中 产生 的 误 码 ， 时 钟 的 稳定 度 和 精度 降低 造成 的 误 码 ， 各 种 干扰 源 造成 的 误 码 )、 
人 为 攻击 、 计 算 机 病毒 等 。 

保障 网 络 信息 完整 性 的 主要 方法 有 如 下 几 个 。 

(1) 协议 : 通过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段 、 失 效 
的 字段 和 被 修改 的 字段 。 

(2) 纠 错 编码 方法 : 用 此 方法 完成 检 错 和 纠 错 功能 。 最 简单 和 常用 的 纠 错 编码 方法 是 


奇偶 校 验 法 。 
En 























(4) 数字 签名 : 保障 信息 的 真实 性 。 

(5) 公证 : 请 求 网 络 管理 或 中 介 机 构 证 明 信 қази. 

5， 不 可 抵赖 性 

不 可 抵赖 性 也 称 作 不 可 否认 性 ， unn n 
真实 同一 性 ， 即 所 有 参与 者 都 不 ея 经 完成 的 操作 和 承诺 。 利 用 信息 源 证 
据 可 以 防止 发 信 方 不 真实 地 奋 ，， e сыйатын ыы 
Т 1. RIRH СС 抵赖 及 对 行为 发 生 时 间 的 不 可 抵 
赖 。 通 过 进行 身份 认证 е ПІЗ ERE Гир LAE e 


对 行为 发 生 时 间 
行 ке 


6. 可 控 

A РЕНИ. AA 

概括 地 说 ， 网 络 信息 安全 与 保密 的 核心 是 通过 计算 机 、 网 络 、 密 码 技术 和 安全 技术 ， 

保护 在 公用 网 络 信息 系统 中 传输 、 交 换 和 存储 的 消息 的 保密 性 、 完 整 性 、 真 实 性 、 可 靠 性 、 

可 用 性 、 不 可 抵赖 性 等 。 

网 络 安全 的 基本 目标 也 可 以 用 “五 不 ”原则 来 概括 。 

(1) 使 用 访问 控制 机 制 ， 阻 止 非 授权 用 户 进入 网 络 ， 即 “ 进 不 来 >， 从 而 保证 网 络 系统 

的 可 用 性 。 
(2) 使 用 授权 机 制 ， 实 现 对 用 户 的 权限 控制 ， 即 不 该 拿 走 的 “ 拿 不 走 ”， 同 时 结合 内 容 

审计 机 制 ， 实 现 对 网 络 资源 及 信息 的 可 控 性 。 
(3 
的 





































































) 使 用 加 密 机 制 ， 确 保 信息 不 暴露 给 未 授权 的 实体 或 进程 ， 即 “看 不 懂 ”， 从 而 实现 
保密 性 。 
(4) 使 用 数据 完整 性 鉴别 机 制 ， 保 证 只 有 得 到 允许 的 人 才能 修改 数据 ， 而 其 他 人 “ 改 
不 了 ”， 从 而 确保 信息 的 完整 性 。 
(5) 使 有 审计、 监控 、 防 抵赖 等 安全 机 制 ， 使 得 攻击 者 、 破 坏 者 、 抵 赖 者 “ 走 不 脱 ”， 
并 进一步 对 网 络 出 现 的 安全 问题 提供 调查 依据 和 手段 ， 实 现 信息 安全 的 可 审查 性 。 
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1.1.3 ”网 络 安全 保障 体系 建设 


网 络 面临 的 安全 风险 是 多 种 多 样 的 ， 网 络 安全 涉及 的 内 容 也 非常 复杂 。 网 络 安全 保障 
体系 的 建设 应 当 包 括 技术 保障 和 管理 保障 两 个 方面 。 
以 计算 机 网 络 的 体系 结构 为 参照 ， 网 络 安全 技术 保障 主要 包括 以 下 儿 方 面 。 

1， 物 理 实体 的 安全 

物理 实体 安全 包含 机 房 安全 、 设 施 安 全 、 动 力 保障 等 方面 。 

其 中 ,机 房 安全 小 及 场地 安全 、 机 房 环境 (包括 温度 、 湿 度 、 电 磁 、 噪 声 、 防 尘 、 静电 
振动 、 建 筑 、 防 火 、 防 雷 、 门 禁 )， 设 施 安全 涉及 设备 可 靠 性 、 通 信 线 路 安全 性 、 辐 射 控制 
与 防洪 器 等 ;动力 保障 包括 电源 、 空 调 等 。 这 几 方 面 的 检测 梯 张 实施 过 程 应 按照 国家 相关 
标准 和 公安 部 颁发 的 实体 安全 标准 实施 。 aS 

2. 通信 和 链 路 的 安全 

Mi ë BE 8 ye 4° : ола 
安全 采取 的 措施 有 通信 Ж 
ЕТТІ 


议 运行 漏洞 等 方面 。 SA 
3 M 3 900 £t оу 


nnn snes mei, 即 是 不 是 任何 一 个 IP 地 址 来 源 































@ a 
:性 测试 、 有 效 隔 离 和 优化 部 署 ， 安 装 通 


机 制 ， 设置 并 测试 安全 通道 ， 测试 通 信 协 








人 办 公 大 楼 的 话 ， 对 于 网 络 层 的 安全 考虑 
就 如 同 为 大 ТА. 守门 人 签 余 细 察看 每 -位 来 访 者 ， 一 旦 发 现 危险 的 来 访 者 
便 会 将 其 拒 之 





通过 网 络 通道 对 网 络 系统 进行 访问 的 时 候 ， 每 一 个 用 户 都 会 拥有 一 个 独立 的 人 P АВЕ, 
这 一 ІР 地址 表明 用 户 的 来 源 所 在 地 和 来 源 系统 。 目 标 网 站 通过 对 来 源 ІР 进行 分 析 ， 便 能 
够 初步 判断 来 自 这 一 IP 的 数据 是 否 安全 ,是否 会 对 本 网 络 系统 造成 危害 ,以 及 来 自 这 一 
的 用 户 是 否 有 权 使 用 本 网 络 的 数据 。 一 旦 发 现 某 些 数据 来 自 不 可 信任 的 他 地址 ， 系 统 使 会 
自动 将 这 些 数据 阻挡 在 系统 之 外 。 并且 大 多 数 系统 能 够 自动 记录 那些 曾经 造成 危害 的 IP 地 
址 ， 使 得 它们 的 数据 无 法 第 二 次 造成 危害 。 

于 解决 网 络 层 安全 性 问题 的 产品 主要 有 防火 墙 产品 和 VPN( 虚 拟 专用 网 )]。 防 火 墙 的 
主要 目的 在 于 判断 来 源 IP， 将 危险 或 未 经 授权 的 IP 的 数据 拒 之 于 系统 之 外 ,而 只 让 安全 的 
ІР 数据 通过 。 一 般 来 说 ， 公 司 的 内 部 网 络 若 要 与 公众 Internet 相连 ， 则 应 该 在 二 者 之 间 配 
置 防火 墙 产品 ， 以 防止 公司 内 部 数据 的 外 泄 。VPN 主要 解决 的 是 数据 传输 的 安全 问题 ， 如 
果 公司 各 部 在 地 域 上 跨度 较 大 ， 使 用 专 网 、 专 线 过 于 昂贵 ， 则 可 以 考虑 使 用 VPN。 其 目的 
在 于 保证 公司 内 部 的 敏感 关键 数据 能 够 安全 地 借助 公共 网 络 进行 频繁 地 交换 。 


4. 操作 系统 的 安全 性 


操作 系统 的 安全 性 问题 ， 主 要 考虑 两 个 方面 : 一 是 病毒 及 各 类 恶意 代码 的 威胁 ;二 
黑客 的 破坏 和 入 侵 。 
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病毒 及 各 类 恶意 代码 的 主要 传播 途径 已 由 过 去 的 软盘 、 光 盘 等 存储 介质 变 成 了 网 络 ， 
多 数 病毒 不 仅 能 够 直接 感染 网 络 上 的 计算 机 操作 系统 ， 也 能 够 将 自身 在 网 络 上 进行 复制 。 
同时 ， 电 子 邮件 、 文 件 传输 (FTP) 以 及 网 络 页 面 中 的 恶意 Java 小 程序 和 ActiveX 控件 ， 甚 至 
文档 文件 都 能 够 携带 对 网 络 和 系统 有 破坏 作用 的 病毒 。 这 些 病 毒 在 网 络 上 进行 传播 和 破坏 
的 多 种 途径 和 手段 ， 使 得 网 络 环境 中 的 防 病毒 工作 变 得 更 加 复杂 ， 网 络 防 病毒 工具 必须 能 
够 针对 网 络 中 各 个 可 能 的 病毒 入 口 来 进行 防护 。 

对 于 网 络 黑客 而 言 ， 他 们 的 主要 目的 在 于 窃取 数据 和 非法 修改 系统 ， 其 手段 之 一 是 窃 
取 合法 用 户 的 口令 ， 在 合法 身份 的 掩护 下 进行 非法 操作 ， 其 手段 之 二 便 是 利用 网 络 操作 系 
统 的 某 些 合法 但 不 为 系统 管理 员 和 合法 用 户 所 熟知 的 操作 指令 。 例 如 在 UNIX 系统 的 默认 
安装 过 程 中 ， 会 自动 安装 大 多 数 系统 指令 。 据 统计 ， 其 中 有 约 300 个 指令 是 大 多 数 合法 
户 所 根本 不 会 使 用 的 ， 但 这 些 指令 往往 会 被 黑客 所 利用 。 































































































ND 来 帮助 系统 管理 员 找 出 哪些 
的 。 在 完成 了 这 些 工 作 之 后 ， 





指令 是 不 应 该 安装 的 ， 哪 些 指令 是 应 该 缩小 其 
操作 系统 自身 的 安全 性 问题 将 在 一 定 程度 上 得 & 
5S、 用 户 的 安全 性 x 
ATIPAN, таб мн, хатанан нею 
使 用 系统 中 的 资源 和 数据 ? 
首先 要 做 的 是 应 该 对 用 到 他 
考虑 的 分 组 。 也 就 是 







了 分 组 管理 ， Nn 


很 据 不 同 的 安 户 分 为 若干 等 级 ， 每 一 等 级 的 用 户 


只 能 访问 与 其 等 级 相对 页 的 系统 资源 和 关 据 3 
其 次 应 该 考虑 的 是 强 有 力 的 身份 i 目的 是 确保 用 户 的 密码 不 会 被 他 人 所 猜测 到 。 
在 大 型 的 应 之 中 ， 有 时 会 存在 多 重 的 登录 体系 ， 用 户 如 需 进 入 最 高 层 的 应 用 ， 往 往 
需要 多 次 输入 多 个 不 同 的 密码 ， 如 果 管理 不 严 ， 多 重 密码 的 存在 也 会 造成 安全 问题 上 的 漏 
洞 。 所 以 在 某 些 先进 的 登录 系统 中 ， 用 户 只 需要 输入 一 个 密码 ， 系 统 就 能 够 自动 识别 用 户 
的 安全 级 别 ， 从 而 使 用 户 进入 不 同 的 应 用 层次 。 这 种 单一 登录 体系 要 比 多重 登 录 体系 能 够 
提供 更 大 的 系统 安全 性 。 

6 应 用 程序 的 安全 性 

在 这 一 层 中 需要 回答 的 问题 是 : 是否 只 有 合法 的 用 户 才能 够 对 特定 的 数据 进行 合法 的 
操作 ? 

这 其 中 涉及 两 个 方面 的 问题 : 一 是 应 用 程序 对 数据 的 合法 权限 ; 二 是 应 用 程序 对 用 户 
的 合法 权限 。 例 如 在 公司 内 部 ， 上 级 部 门 的 应 用 程序 应 该 能 够 存 取 下 级 部 门 的 数据 ， 而 下 
级 部 门 的 应 用 程序 一 般 不 应 该 允许 存 取 上 级 部 门 的 数据 。 同 级 部 门 应 用 程序 的 存 取 权限 也 
应 有 所 限制 ， 例 如 同一 部 门 不 同业 务 的 应 用 程序 也 不 应 该 互相 访问 对 方 的 数据 ， 一 方面 可 
以 避免 数据 的 意外 损坏 ， 另 一 方面 也 是 安全 方面 的 考虑 。 
7. 数据 的 安全 性 
数据 的 安全 性 问题 所 要 回答 的 问题 是 .机 密 数 据 是 否 还 处 于 机 密 状态 ? 
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在 数据 的 保存 过 程 中 ， 机 密 的 数据 即使 处 于 安全 的 空间 ， 也 要 对 其 进行 加 密 处 理 ， 以 
保证 万 一 数据 失窃 ， 偷 次 者 (如 网 络 黑客 ) 也 读 不 懂 其 中 的 内 容 。 这 是 一 种 比较 被 动 的 安全 
手段 ， 但 往往 能 够 收 到 最 好 的 效果 。 
上 述 的 网 络 安全 保障 体系 是 有 机 的 整体 。 如 果 将 网 络 系统 比 作 一 幢 办 公 大 楼 的 话 ， 
门卫 就 相当 于 网 络 互 连 的 安全 性 ， 他 负责 判断 每 一 位 来 访 者 是 否 能 够 被 允许 进入 办 公 大 
楼 ， 发 现 具有 和 危险 性 的 来 访 者 则 将 其 拒 之 门 外 ， 而 不 是 让 所 有 人 都 能 够 随意 出 入 。 操 作 
系统 的 安全 性 相当 于 内 部 办 公 系 统 ， 只 允许 各 个 职能 部 门 之 间 协 同 工 作 而 不 能 允许 来 自 
外 部 的 非法 入 侵 、 ақын 如 果 对 整个 大 楼 的 安全 性 有 更 高 的 要 求 的 话 ， 还 应 
该 在 每 一 楼 层 中 设置 门禁 ， 办 公 人 员 只 能 进入 相应 的 楼 层 ， 而 如 果 要 进入 其 他 楼 层 ， 则 
ee ESE Pika O R 全 理 。 应 用 程序 的 安全 性 相当 于 部 门 与 部 
门 间 的 分 工 ， 每 一 部 门 上 只 做 自己 的 工作 ， 而 不 会 干扰 4 工作 。 数 据 的 安全 性 则 
类 似 于 使 ыы > aa 














































































Тк 


行政 手段 和 技术 手段 相 结合 的 方法 建立 全 管理 制度 ， 如 机 房管 理 制度 、 设 备 
管理 制度 、 网 络 安全 设备 的 维护 管理 制 有 防范 制度 、 操 作 系统 及 应 用 软件 平台 权限 
管理 制度 、 数 据 存储 备份 制度 、 安 总 制度 等 。 


J ан 


tunaqa 安全 形势 ， 许 ҚҰЗ 标准 化 组 织 纷纷 出 台 了 相关 的 安全 标准 ， 
ЗАГ МАИ БИЕ, ОИЕ ЕА В НАЈ КЦ, ӘНІН. JE 
中 以 美国 国防 部 制定 的 可 信 计 算 机 安全 标准 (TCSEC) 应 用 最 为 广泛 。 


121 网络 安全 主要 国际 标准 


国际 性 的 标准 化 组 织 主要 有 国际 标准 化 组 织 4SO)、 国际 电 器 技术 委员 会 UEC) 及 国际 电 
信 联 盟 GTU) 所 属 的 电信 标准 化 组 织 ITU-TS)。ISO 是 总 体 标准 化 组 织 ， 而 ТЕС 在 电工 与 电 
子 技术 领域 里 相当 于 ISO 的 位 置 。1987 年 ，ISO 的 TC97 和 ТЕС 的 TCs47B/83 合并 成 为 
ISO/IEU 联合 技术 委员 会 (JTC1)。ITU-TS 是 联合 缔约 组 织 。 这 些 组 织 在 安全 需求 服务 分 析 
指导 、 安 全 技术 研制 开发 、 安 全 评估 标准 等 方面 制定 了 一 些 标准 草案 ， 但 尚未 正式 执行 。 
另外 还 有 众多 的 标准 化 组 织 , 它们 也 制定 了 不 少 安全 标准 ,如 IETF 就 有 9 个 功能 组 : 认证 
防火 墙 测 试 组 (AFT)、 公 共 认 证 技术 组 (CAT)、 域 名 安全 组 (DNSSEC)、IP 安全 协议 组 (IPSEC)、 

-次 性 密码 认证 组 (OTP)、 公 开 密 钥 结 构 组 (PKIX)、 安 全 界面 组 (SECSH)、 简 单 公开 密 钥 结 

构 组 (SPKD、 传 输 层 安全 组 (TLS) 和 Web 安全 组 (WTS) 等 ， 它 们 都 制定 了 相关 的 标准 。 

1. 美国 TCSEC( 桔 皮 书 ) 

该 标准 是 美国 国防 部 制定 的 。 它 将 安全 分 为 4 个 方面 : 安全 政策 、 可 说 明 性 、 安 全 保 
障 和 文档 。 这 4 个 方面 又 分 为 7 个 安全 级 别 ， 从 低 到 高 依次 为 D1、C1、C2、B1、B2、B3 
和 Al 级 。 








得 其 中 的 文件 Хе 
an Pita nisita з 所 谓 管理 就 是 要 以 技术 保障 为 支撑 ， 
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2. 欧洲 ITSEC 


ITSEC 与 TCSEC 不 同 , 它 并 不 把 保密 措施 直接 与 计算 机 功能 相 联系 , 而 是 只 叙述 技术 
安全 的 要 求 ， 把 保密 作为 安全 增强 功能 。 另 外 ，TCSEC 把 保密 作为 安全 的 重点 ， 而 ITSEC 
则 把 完整 性 、 可 用 性 与 保密 性 作为 同等 重要 的 因素 。ITSEC 定义 了 从 E0 级 (不 满足 品质 ) 到 
E6 级 (形式 化 验证 ) 的 7 个 安全 等 级 ， 对 于 每 个 系统 ， 安 全 功能 可 分 别 定义 。ITSEC 预定 义 
了 10 种 功能 ， 其 中 前 5 种 与 桔 皮 书 中 的 C1~B3 级 非常 相似 。 


3， 加 拿 大 CTCPEC 
该 标准 将 安全 需求 分 为 4 个 层次 : 机 密 性 、 完 整 性 、 可 靠 性 和 可 说 明 性 。 
4. 美国 联邦 准则 (FC ) 


该 标准 参照 了 CTCPEC Ж ТСЅЕС, ЕН келі 升级 版 本 ， 同 时 保护 已 有 
投资 。FC 是 一 个 过 渡 标 准 ， 后 来 结合 ITSEC 发 展 共 准 则 。 


5， 联 合 通用 准则 (CC) 
CC 的 目的 是 把 已 有 maa Yarns ЖАЙМА 1993 年 开始 执行 ， 


























1996 年 推出 第 一 版 ， 但 目前 仍 未 付 сна! ЕС Ж ITSEC 的 主要 特征 ， 它 强调 
将 安全 的 功能 与 保障 分 离 ， 并 ӛз 92563 ри 7 类 29 族 。 


6. ISO 安全 体系 p, 


在 安全 体系 结构 方 X ая Жы ы 开放 系统 互 连 、 基 本 模 
型 第 2 部 分 安全 a г 标准 为 开放 系统 标准 建立 了 一 个 框架 。 其 


ТЕРЕК 有 关机 制 的 一 确定 在 参考 模型 内 部 可 以 提供 这 些 服务 与 机 
制 的 位 置 。 


7. BS7799(ISO 17799: 2000) 标 准 


ISO 17799 于 2000 年 12 月 出 版 ， 它 适用 于 所 有 的 组 织 ， 目 前 已 成 为 强制 性 的 安全 标 
МЕ. ISO 17799 是 一 个 详细 的 安全 标准 ， 包 括 安全 内 容 的 所 有 准则 ， 有 具体 由 10 个 独立 的 部 
分 组 成 ， 其 中 每 一 部 分 都 覆盖 不 同 的 主题 和 区 域 。 


122 我国 的 网 络 安全 相关 国家 标准 


我 国 发 布 的 网 络 安全 标准 主要 有 以 下 几 项 。 

公安 部 制定 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17895 一 1999)。 该 准则 
将 信息 系统 安全 分 为 5 个 等 级 ， 分 别 是 自主 保护 级 、 系 统 审计 保护 级 、 安 全 标记 保护 级 、 
结构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 验证 、 自 主 访问 控制 、 数 据 
完整 性 、 审 计 、 隐 项 信道 分 析 、 客 体重 用 、 强 制 访问 控制 、 安 全 标记 、 可 信 路 径 和 可 信 恢 
复 等 ， 这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 网 络 建设 必须 确定 合理 的 安全 指标 , 才能 检 
验 其 达到 的 安全 级 别 。 具 体 实施 网 络 建设 时 ， 应 根据 网 络 结构 和 需求 ， 分 别 参照 不 同 的 标 
准 条 款 制 定安 全 指标 。 
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务 院 发 布 的 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》。 

防 科 工 委 发 布 的 《军用 计算 机 安全 评估 准则 》(GJB 2646 一 1996) 和 《军用 计算 机 网 
络 安全 等 级 评估 标准 》(GJB 3395 一 1995)。 

司 家 质 监 局 发 布 的 《信息 技术 、 安 全 技术 、 信 息 技 术 安全 性 评估 准则 》(GB/T 18366 一 
2001)- 


123 我国 的 网 络 安全 法 律 法 规 


信息 安全 立法 是 建立 我 国信 息 安全 监督 管理 长 效 机 制 的 重要 保障 。 党 中 央 、 国 务 院 对 
我 国 面临 的 信息 安全 问题 高 度 重视 ， 先 后 发 布 实施 了 一 系列 规范 性 文件 ， 就 新 形势 下 如 何 
开展 和 加 强 我 国信 息 安全 的 防范 和 处 置 工作 ， 提 出 了 前 瞻 要 求 % 进行 了 具体 部 署 ， 并 指出 
要 建立 行业 主管 和 协 管 部 门 紧密 配合 的 网 络 管理 机 制 ， 完 各 去 规 ， 依 法 加 强 管 理 ， 探 
索 建 立 互联 网 管理 的 长 效 机 制 。 

目前 我 国 现行 法 律 法 规 及 规章 中 , 与 信息 安全 寅 排 相 
息 系统 安全 、 信 息 内 容 安全 、 信 息 安全 系统 
性 程序 防治 、 金 融 等 特定 领域 的 信息 安全 装 忧 交 全 犯罪 制裁 等 多 个 领域 ,在 文件 形式 上 ， 
er na i 行政 法 规 、 法 规 性 文件 、 部 门 规章 


及 相关 文件 、 地 方 性 法 规 与 地 方 政 类 及 相关 文件 多 个 层次 。 
其 中 ， 全 面 规范 信息 安 侈 的 法 律 法 规 有 18 部 ， «Шон 年 的 《中 华人 民 共 和 国 计 算 


机 信息 系统 安全 保护 条 例 》 深 侧重 于 互 全 的 有 7 部 ， 包 括 2000 年 《全 国人 民 
会 常务 委员 会 关 书 维护 互联 网 安全 的 ; 
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及 网 络 与 信 



















代表 这 法律 层 面 的 文件 , 也 包括 1997 年 的 《 计 
算 机 信息 网 络 国际 花色 安全 保护 管理 办 注 ”. 等 部 门 规章 ;侧重 于 信息 安全 系统 与 产品 的 有 
3 部 ， 包 括 199X 毕 的 《计算 机 信息 系统 守 守 专用 产品 检测 和 销售 许可 证 管理 办 法 》 等 部 站 
规章 侧重 于 保密 的 有 10 部 ， 既 包括 1989 年 的 《中 华人 民 共和 国保 守 国家 秘密 法 》 等 法 
律 ， 也 包括 1998 年 的 《计算 机 信息 系统 保密 管理 暂行 规定 》、2000 年 的 《计算 机 信息 系统 
国际 联网 保密 管理 规定 》 侧重 于 密码 管理 及 应 用 的 有 5 部 ， 包 括 1999 年 的 《商用 密码 管 
理 条 例 》 等 法 规 ， 也 包括 2005 年 的 《电子 认证 服务 管理 办 法 》《 电 子 认证 服务 密码 管理 办 
法 )、《 中 华人 民 共 和 国电 子 签名 法 》 等 部 门 规章 ， 侧 重 于 计算 机 病毒 与 危害 性 程序 防治 的 
有 9 部 ,包括 2000 年 的 《计算 机 病毒 防治 管理 办 法 》 等 部 门 规章 ;侧重 于 信息 安全 犯罪 处 
罚 的 主要 是 我 国 刑法 第 285 条 、286 条 、287 条 等 相关 规定 。 更 多 和 更 新 的 相关 法 律 法 规 可 
以 在 中 国信 息 安全 法 律 网 上 查阅 : http://www.infseclaw.net。 


124 ”等 级 保护 简介 


2007 年 6 月 22 日 ， 公 安 部 与 国家 保密 局 、 密 码 管理 局 、 国 务 院 信息 办 联合 会 签 并 印 
发 了 《信息 安全 等 级 保护 管理 办 法 》( 公 通 字 [2007]43 号 )， 明 确 了 信息 安全 等 级 保护 制度 的 
基本 内 容 、 流 程 及 工作 要 求 ， 明 确 了 信息 系统 运营 使 用 单位 和 主管 部 门 、 监 管 部 门 在 信息 
安全 等 级 保护 工作 中 的 职责 、 任 务 ， 为 开展 信息 安全 等 级 保护 工作 提供 了 规范 保障 。 同 时 
制定 了 包括 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999)、《 信 息 系统 安全 
等 级 保护 定 级 指南 》 《信息 系 统 安全 等 级 保护 基本 要 求 》 《信息 系统 安全 等 级 保护 实施 指 










































































第 1 章 ”网络 安全 概论 


南 》、《 信 息 系 统 安全 等 级 保护 测评 要 求 》 等 50 多 个 国标 和 行 标 ， 初 步 形成 了 信息 安全 等 级 
保护 标准 体系 。 

信息 安全 等 级 保护 是 当今 发 达 国家 保护 关键 信息 基础 设施 , 保障 信息 安全 的 通行 做 法 ， 
也 是 国家 信息 安全 保障 工作 的 基本 制度 、 基 本 策略 、 基 本 方法 ， 是 我 国 多 年 来 信息 安全 工 
作 经 验 的 总 结 。 实 施 信息 安全 等 级 保护 ， 有 利于 在 信息 化 建设 过 程 中 同步 建设 信息 安全 设 
施 ， 保 障 信息 安全 与 信息 化 建设 相 协调 ， 有 利于 为 信息 系统 安全 建设 和 管理 提供 系统 性 、 
针对 性 、 可 行 性 的 指导 和 服务 ， 有 利于 优化 信息 安全 资源 的 配置 ， 对 信息 系统 分 级 实施 保 
护 ， 重 点 保障 基础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 系统 
的 安全 ， 有 利于 明确 国家 、 法 人 和 其 他 组 织 、 公 民 的 信息 安全 责任 ， 加 强 信息 安全 管理 ; 
有 利于 推动 信息 安全 产业 的 发 展 ， 逐 步 探索 出 一 条 适应 社会 主 尺 市 场 经济 发 展 的 信息 安全 
模式 。 

等 级 保护 的 主要 流程 包括 6 项 内 容 : 一 是 ШІ 
224207 7" 有 上 级 主管 部 门 的 
еа 其 主管 部 门 统一 确 
定安 全 保护 等 级 。 二 是 评审 。 在 信息 系统 确定 安 痊 保护 等 级 过 程 中 ， 可 以 组 织 专家 进行 评 
审 。 对 拟 确定 为 第 四 级 以 上 的 信息 如 营 使 用 单位 或 主管 部 门 应 当 邀 请 国家 信息 安 
全 保护 等 级 专家 评审 委员 会 评审 案 。 第 二 级 以 上 信息 系统 定 级 单位 到 所 在 地 设 区 
的 市 级 以 上 公安 机 关 办 理 备案 天 | 了 息 系统 安全 保护 等 级 确定 后 
运营 使 用 单位 按照 管理 规 RERNE, à ЖИН Зе, ERIE 
级 要 求 的 信息 安全 设施 人 建立 安全 组 织 ， 制 怎 首 沙 实 安全 管理 制度 。 五 是 等 级 测评 。 信息 
系统 建设 完成 后 ,二 党 人 агар, 法 要 求 的 检测 机 构 ， 对 信息 系统 安全 等 级 
状况 开展 等 级 测 馆 ,六 是 监督 检查 。 公 各 机关 依据 信息 安全 等 级 保护 管理 规范 ， 监 督 检查 
运营 使 用 单位 开展 等 级 保护 工作 ， 定 期 对 第 三 级 以 上 的 信息 系统 进行 安全 检查 。 运 营 使 用 
单位 应 当 接 受 公安 机 关 的 安全 监督 、 检 查 、 指 导 ， 如 实 向 公安 机 关 提供 有 关 材 料 。 





































































。 信 息 系统 运营 使 用 单位 按 























































13 网络 安 全 技术 动态 


物 联网 、 移 动 互 联网 、 云 计算 和 大 数据 已 经 成 为 信息 技术 发 展 所 迎 来 的 一 个 全 新 时 代 ， 
网 络 安全 无 疑 将 面临 新 的 挑战 ， 新 问题 随 之 而 来 ， 新 技术 热点 已 经 形成 。 


1， 物 联网 安全 


1) 物 联 网 面临 的 安全 威胁 
与 互联 网 相 比 ， 物 联网 主要 实现 人 与 物 、 物 与 物 之 间 的 通信 ， 通 信 的 对 象 扩 大 到 了 物 
品 。 根 据 功能 的 不 同 ， 物 联网 网 络 体系 结构 大 致 分 为 3 个 层次 ， 底 层 是 用 来 信息 采集 的 感 
知 层 ， 中 间 层 是 数据 传输 的 网 络 层 ， 顶 层 则 是 应 用 /中 间 件 层 。 
(1) 物 联网 的 感知 层 主 要 采用 射频 识别 技术 (RFID), 嵌入 了 RFID 芯片 的 物品 不 仅 能 
便 地 被 物品 主人 所 感知 ， 也 能 被 其 他 人 感知 。 但 是 这 种 被 感知 的 信息 通过 无 线 网 络 平台 进 
行 传输 时 , 容易 引起 个 人 隐私 泄露 。 窗 扰 问题 也 在 传 感 网 络 和 无 线 网 络 领域 显得 非常 棘手 。 
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由 于 物 联网 中 节点 数量 巨大 ， 并 且 是 以 集群 的 形式 存在 ， 因 此 在 数据 传输 时 ， 大 量 节 点 数 
据 的 传输 请 求 会 导致 网 络 堵塞 ， 产 生 拒 绝 服务 的 情况 。 

(2) 物 联网 网 络 层 由 移动 通信 网 、 互 联网 和 其 他 专 网 组 成 ， 主 要 实现 信息 的 转发 和 传 
送 ， 它 将 感知 层 获 取 的 信息 传送 到 远 端 ， 为 数据 在 远 端 进行 智能 处 理 和 分 析 决 策 提供 强 有 
力 的 支持 。 考 虑 到 物 联网 本 身 具 有 专业 性 的 特征 ， 其 基础 网 络 可 以 是 互联 网 ， 也 可 以 是 具 
体 的 某 个 行业 网 络 。 因 此 物 联网 的 网 络 环境 的 具有 不 确定 性 。 广 泛 分 布 的 感知 节点 ， 其 实 
质 作 用 就 是 监测 和 控制 网 络 上 的 各 种 设备 ， 通 过 对 不 同 对 象 的 监测 而 提供 不 同 格式 的 反馈 
数据 来 表征 网 络 系统 的 当前 状态 。 从 这 个 角度 来 看 ， 物 联网 感知 层 的 数据 非常 复杂 ， 数 据 
间 存 在 着 频繁 的 冲突 与 合作 ， 具 有 很 强 的 见 余 性 和 互补 性 。 所 以 ， 对 于 物 联网 的 数据 而 言 ， 
除了 传统 IP 网 络 的 所 有 安全 问题 之 外 , 还 由 于 来 自 各 种 类 型 感知 节点 的 数据 是 海量 的 并 且 
是 多 源 异 构 数据 所 带 来 的 网 络 安全 问题 更 加 复杂 。 j 














































































































(3) 物 联网 应 用 层 是 一 个 集成 应 用 和 解析 服务 的 ` 郊 景 有 强大 信息 处 理 和 和 融合 功能 的 
服务 系统 ， 如 物流 监控 、 职 能 检索 、 远 程 医疗 、 mesa 、 智 能 家 居 等 。 应 用 层 涉及 业务 
控制 和 管理 、 中 间 件 、 数 据 挖 气 等 技术 。 由 уа 网 的 应 里 将 是 多 领域 多 行业 的 ， 因 














此 如 何 处 理 广 域 范围 的 海量 数据 、 жне 换 过 程 的 机 密 性 、 完 整 性 ， 制 定 正确 的 业务 
控制 策略 将 使 物 联网 在 安全 性 和 可 靠 性 充 间 也 面临 着 重大 挑战 。 
2) 物 联 网 安全 措施 
感知 层 安全 可 以 分 为 t 


护 ， 传 感 器 网 络 需要 安全 带 仿 新制 ， me 
安全 通信 机 制 需要 使 用 件 码 技术 。 传 感 器 网 言 加 密 的 ; 


制 和 轻 量 级 加 密 A x 

PA R Ја: 54У рана рУ AC. БМ A ЕН ЖАНЕ АЗ 
等 。 网 络 层 安 全 要 实现 端 到 端 加 密 和 节点 间 信 息 加 密 。 对 于 端 到 端 加 密 ， 需 要 采用 端 到 端 
认证 、 端 到 端 密 钥 协 商 、 密 钥 分 发 技术 ， 并 且 要 选用 合适 的 加 密 算法 ， 还 需要 进行 数据 完 
整 性 保护 。 对 于 节点 间 数 据 加 密 ， 需 要 完成 节点 间 的 认证 和 密 钥 协商 ， 加 密 算法 和 数据 完 
整 性 保护 则 可 以 根据 实际 需求 选取 或 省 略 。 

应 用 层 安 全 的 核心 是 需要 一 个 强大 而 统一 的 安全 管理 平台 ， 和 否则 每 个 应 用 系统 都 建立 
自身 的 应 用 安全 平台 ， 将 会 影响 安全 互 操作 性 ， 导 致 新 一 轮 安 全 问题 的 产生 。 除 了 传统 的 
访问 控制 、 授 权 管理 等 安全 防护 手段 ， 物 联网 应 用 层 还 需要 新 的 安全 机 制 ， 比 如 对 个 人 隐 
私 保护 的 安全 需求 等 。 

2. 智能 手机 安全 

根据 CNNIC 数据 , 截至 2012 年 底 , 中 国 移动 网 民 规模 已 达 4.2 亿 , 占 整 体 网 民 的 75%, 
移动 互联 网 时 代 的 蓬勃 发 展 也 使 得 移动 安全 问题 引起 人 们 关注 。 移 动 互联 网 的 快速 发 展 伴 
随 着 安全 隐患 的 激增 ， 未 来 移动 安全 将 呈现 以 下 趋势 : 手机 病毒 呈现 多 样 化 发 展 ， 而 且 将 
更 加 隐蔽 ;手机 病毒 危害 依然 以 窃取 隐私 、 恶 意 扣 费 、 盗 取 流 量 为 主 ， 移 动 端 广告 推广 软 
件 将 变 多 ， 恶 意 推广 广告 也 将 更 加 猩 狐 ， 二 维 码 的 扫描 下 载 软件 有 可 和 存在 病毒 。 

智能 手机 安全 防护 需要 一 套 完善 的 立体 的 防范 体系 。 为 达到 “ 防 泄密 ”和 “ 防 骚扰 ” 









安全 和 信息 安全 传感器 节点 之 间 的 信息 需要 保 
不 被 未 授权 的 第 三 方 获得 。 
:于 轻 量 级 的 对 称 密码 体 
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的 目的 ， 从 设备 控制 、 数 据 管 理 、 网 络 管理 和 进程 管理 对 智能 手机 进行 了 全 方位 、 立 体 化 
的 安全 防护 。 
1) 设备 控制 
可 以 从 以 下 3 个 方面 来 对 智能 手机 设备 进行 控制 。 
(1) 登录 管理 ， 当 前 大 部 分 系统 的 登录 控制 比较 简单 ， 容 易 被 绕 过 或 者 破解 ， 因 此 应 
该 采用 强制 的 系统 登录 措施 ， 通 过 用 户 名 及 增强 型 密码 的 验证 方式 加 强 系 统 登 录 的 控制 ， 
同时 设置 销毁 触发 机 制 ， 阻 止 非法 用 户 登录 ， 保 护 数据 安全 。 
(2) 接口 控制 : 智能 手机 的 接口 比较 丰富 ， 功 能 更 是 强大 ， 例 如 蓝牙 、Wi-Fi 和 摄像 头 
等 。 这 些 接口 提供 便利 的 同时 也 带 来 了 很 多 的 威胁 ， 例 如 通过 蓝牙 与 Wi-Fi 进入 系统 等 。 
因此 , 需要 提供 一 种 针对 接口 的 控制 机 制 , 对 智能 手机 设备 常见 的 接口 如 红外 、 蓝 牙 、Wi-Fi、 
电话 和 摄像 头等 进行 控制 ， 在 提供 易 用 性 的 同时 防止 通过 露 敏 感 数据 。 存 储 卡 
- 般 是 为 了 解决 当前 普遍 存在 的 智能 手机 内 存 不 足 的 | 等 
置 到 存储 卡 中 ， 另 外 ， 通 过 存储 卡 也 可 能 造成 病毒 的 秆 揪 ， 其 可 插 拔 的 特性 也 导致 其 上 的 
内 容 容易 泄漏 ， 因 此 存储 卡 也 被 列 入 控制 范 А 
(3) 远程 锁定 : 该 功能 项 可 以 作为 补 在 手机 丢失 的 情况 下 ， 可 以 远程 发 送 锁 
定 策略 ， 当 智能 手机 接收 到 锁定 策略 时 ,将 条 统 锁定 ， 此 时 手机 除 拨打 特殊 号 码 外 的 任何 
s fE tili: | 寺 ， 可 进行 正常 的 系统 操作 。 该 功能 的 目的 是 确 
保 设 备 丢失 或 者 被 盗 后 设备 内 的 会 泄露 。 x= 
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2) 数据 管理 

МНЕ Ты 
通讯 录 、 短 信 等 数据 、 因 此 数据 的 管理 要 。 可 从 以 下 3 个 方面 加 强 对 智能 手机 数 
据 的 管理 。 ЖУ 


(1) 数据 通过 数据 加 密 的 方式 保护 智能 手机 的 关键 数据 ， 目 前 实现 方式 较 多 ， 包 
括 虚拟 磁盘 和 加 密 文件 夹 等 。 其 中 虚拟 磁盘 技术 借鉴 了 PC 平台 上 TrueCrypt 等 著名 加 密 工 具 
的 做 法 ， 在 智能 手机 上 虚拟 出 加 密 磁 盘 ， 加 载 虚拟 磁盘 后 ， 所 有 虚拟 磁盘 上 的 信息 对 于 应 
程序 和 用 户 都 是 明文 ， 但 卸载 虚拟 磁盘 后 则 是 密 文 ， 在 保证 易 用 性 的 同时 也 保证 了 数据 的 安 
全 。 同 时 ， 应 强制 将 存储 卡 上 的 数据 加 密 或 者 将 其 上 的 数据 通过 虚拟 磁盘 技术 保护 。 
(2) 数据 备份 : 将 智能 手机 的 关键 数据 与 服务 器 同步 ， 达 到 数据 的 备份 和 恢复 的 目的 
即使 在 数据 丢失 情况 下 仍 能 保证 业务 的 可 持续 性 。 

(3) 数据 擦 除 ， 当 手机 丢失 时 ， 可 以 通过 远程 擦 除 的 方式 确保 数据 不 会 泄露 。 可 以 将 
系统 内 所 有 的 敏感 数据 (包括 联系 人 信息 、 来 往 短信 、 电 话 记 录 及 用 户 自己 定义 需要 删除 的 
数据 ) 使 用 高 强度 算法 彻底 擦 除 ， 从 而 确保 手机 内 的 数据 和 个 人 隐私 不 受 侵犯 。 

3) 网 络 管理 

通过 对 网 络 底层 的 管理 ， 就 可 以 对 智能 手机 的 网 络 访问 进行 过 滤 及 控制 ， 避 免 网 络 的 
误 用 和 混用， 确保 智能 手机 网 络 的 安全 使 用 。 控 制 的 策略 可 以 包括 禁止 使 用 、 自 由 使 用 及 
条 件 使 用 等 。 同 时 还 可 以 实时 监控 有 联网 行为 的 程序 ， 从 而 识别 出 恶意 软件 ， 避 免 网 络 被 
。 通 过 设置 电话 、 短 信 联 系 人 以 及 短信 内 容 的 过 滤 等 手段 来 防止 受到 骚扰 。 
人 
结合 智能 手机 的 特点 ， 采 用 黑白 名 单 的 形式 ， 对 系统 的 进程 进行 控制 。 用 户 可 以 采取 
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通过 识别 进程 名 称 或 者 进程 文件 的 特征 等 方法 来 决定 是 否 允许 该 进程 运行 ， 进 而 防止 非法 


进程 接触 敏感 信 
机 各 模块 的 运行 状况 ， 保 证 各 种 策略 的 有 效 实施 。 

3. 数据 防 泄密 

数据 防 泄密 (Dafa Leakage Prevention，DLP) 近 几 和 
首先 源 于 频 发 的 数据 泄密 事件 ， 

















其 次 企业 信息 化 建设 后 ， 





息 ， 保 护 设备 数据 安全 ; 通过 实时 监测 智 


FE 已 经 成 为 国内 非常 热门 


ГЭЕ a 
НЕ? > 








机 的 运行 情况 ， 监 控 智 能 如 





的 关键 词 。 
的 保护 意识 





对 电子 信息 知识 产权 


不 断 增 强 。 经 过 多 年 安全 行业 的 发 展 和 用 户 的 检验 ， 目 前 市 场 上 DLP 产品 主要 可 以 分 为 三 
大 类 ， 各 类 产品 都 来 源 于 不 同 的 技术 体系 ， 防 护 效果 也 各 有 优 缺 点 。 


第 一 类 ， 以 监控 审计 为 主 ， 对 进出 的 数据 进行 过 滤 ， 
断 、 警 告 、 审 计 等 。 这 类 产品 技术 通常 基于 业界 对 DLP 
对 动态 数据 、 静 态 数据 和 使 用 中 的 数据 进行 鉴定 、 检 测 

库 ， 在 通过 代理 、Web 监控 、Mail 监控 等 在 各 I 












并 设置 一 定 的 响应 措施 ， 包 括 阻 
3“ 能 够 通过 深度 内 容 分 析 
产品。” 产品 支持 建立 关键 

i 


、 过 滤 关 键 字 ， 用 以 达到 加 强 





范 、 及 时 发 现 、 合 理 处 理 的 目的 。 这 类 产 泥 部 署 简单 、 界 面 漂 亮 ， 


但 




















Es 





内 用 户 





的 ， 特 别针 对 设计 院 所 或 者 
竺 定 范围 内 使 用 才 可 以 产 和 4 
第 二 类 ， 以 文档 加 密 为 8 
及 权限 控制 
介质 等 不 同 
密 的 功能 ， 
的 特点 是 可 











以 对 文档 进行 细 粒 度 














同时 由 于 力 
第 三 类 ， 以 边界 防护 为 主 ， 


数据 采用 策略 对 应 的 手段 或 是 加 





























数据 保护 需求 却 并 不 仅仅 止步 
， 例 如 控制 必须 外 发 或 者 已 经 外 发 网 数据 


ы сонии. 
МИА АЧАК, ЕВЕ A UE 
o Зову ЗЫНАН Д 

КТ 

е 档 的 透明 加 解密 ， 

的 管理 ， 但 是 其 
的 程序 软件 , 兼容 性 上 往往 需要 投入 大 量 的 工 
密 文件 在 内 部 的 频繁 使 用 ， 加 密 解密 过 程 需 要 占用 计算 机 资源 过 多 。 


HI 5 
ЕБ взр 2. 
企业 的 敏感 信息 在 很 多 应 用 场景 下 是 需要 交 
含有 敏感 信息 的 图 纸 就 是 产品 ， 
时 候 的 监控 类 






we уу 
DR 


7 须 外 发 并 
体系 
К. 可 以 通过 对 主机 终端 、 服 务 器 、 存 储 
中 授予 使 用 权限 ， 甚 至 可 以 实现 自动 发 现 、 自 动 加 

用 者 可 以 直接 打开 、 编 辑 、 保 存 文档 。 这 类 产品 
技术 特点 过 分 依赖 文件 的 格式 或 者 使 用 文件 
E, 具体 使 用 过 程 中 只 能 选择 特定 的 文件 格式 。 
































在 企业 认为 存在 风险 的 边界 点 设置 防护 措施 ， 经 过 边界 的 
密 或 是 授权 ， 以 达到 信息 在 安全 区 域内 外 都 受 控 的 目的 。 


这 类 产品 通过 精准 定位 敏感 数据 的 使 用 边界 ， 通 过 在 边界 赋予 控制 手段 实现 数据 防 泄密 。 


对 安全 需求 旺盛 的 企业 一 般 可 
及 研发 性 企业 。 敏 感 信息 往生 
防护 的 边界 ， 那 么 通过 了 








[以 分 为 两 种 类 型 ， 
在 主机 终端 产生 、 存 储 、 使 有 
E 机 的 泄 


-种 是 敏感 信息 密集 型 ， 例 如 制造 、 设 计 
。 可 以 说 主机 的 边界 就 是 信息 
密 途 径 风险 分 析 ， 网 络 、 存 储 介 质 、 外 设 、 打 印 和 硬盘 所 

















存 的 风险 点 ， 辅 以 控制 、 加 密 和 


审计 的 手段 ， 即 可 


[实现 严密 的 防 泄密 。 另 一 种 是 敏感 信息 


分 散 型 ， 通 常 是 信息 程度 高 ， 敏 感 信息 来 源 单 一 的 企业 ， 





例如 运营 商 、 大 型 央企 。 已 经 在 











企业 内 部 建立 大 型 的 业务 系统 ， 业 务 系统 分 布 广阔 、 使 有 





人 员 众多 。 这 时 候 需 要 以 业务 系 








统 为 防护 边界 ， 加 强 访问 控制 、 实 现 业 务 系 统 信息 落地 力 





的 防 泄密 ， 并 且 大 大 减少 管理 成 本 。 这 类 型 的 产品 特点 是 | 


建设 前 期 调研 、 明 确 防 范 边界 投入 较 多 。 


Š 


[0 密 并 赋予 使 用 权限 即 可 达到 有 效 


防范 手段 丰富 、 有 效 ， 但 对 安全 
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4. 统一 威胁 管理 
统一 威胁 管理 (Unified Threat Management，UTM)， 即 将 防 病毒 、 入 侵 检 测 和 防火 墙 安 
全 设备 划 归 统一 威胁 管理 新 类 别 。UTM 是 指 由 硬件 、 软 件 和 网 络 技术 组 成 的 具有 专门 
的 设备 ， 它 主要 提供 一 项 或 多 项 安全 功能 ， 将 多 种 安全 特性 集成 于 一 个 硬 设备 里 ， 构 成 一 
个 标准 的 统一 管理 平台 。UTM 设备 应 该 具备 的 基本 功能 包括 网 络 防火 墙 、 网 络 入 侵 检测 / 
防御 和 网 关 防 病毒 功能 。 
UTM 的 架构 中 包含 了 很 多 具有 创新 价值 的 技术 内 容 ，UTM 产品 相 比 传统 安全 产品 主 
要 有 以 下 特点 。 
(1) 完全 性 内 容 保护 (Complete Content Protection)。 对 OSI 模型 中 描述 的 所 有 层次 的 内 
容 进 行 处 理 。 这 种 内 容 处 理 方法 比 目 前 主流 的 状态 检测 技术 以 及 深度 包 检 测 技术 更 加 先进 ， 
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目前 使 用 该 技术 的 产品 已 经 可 以 在 千 兆 网 络 环境 中 对 数 了 全 面 的 检测 。 这 意味 着 
应 用 了 完全 性 内 容 保护 的 安全 设备 不 但 可 以 识别 预先 定 必 和 极 各 种 非法 连接 和 非法 行为 ， 而 
且 可 以 识别 各 种 组 合式 的 攻击 行为 以 及 相当 隐 和 





感 平台 的 一 种 处 理 器 技术 , 在 UTM 安 
入 由 于 应 用 了 完全 性 内 容 保护 ， 需 要 处 理 的 
这 些 内 容 需 要 被 防 病毒 、 防 火 墙 等 多 种 引擎 
所 处 理 ，UTM 产品 具有 非常 高 的 性 。 将 各 种 常用 的 加 密 、 解 密 、 规 则 匹配 、 数 据 分 
析 等 功能 集成 于 ASIC bye аланда UTM 设备 正常 运作 。 
Fortinet 不 但 成 功 地 在 自己 酶 茂 铝 内 应 用 了 азан 高 度 尖端 性 的 芯片 技术 ， 而 且 还 
ла ЕН? зі FortiASIC 老牌 的 ASIC 厂商 也 不 得 不 刮目相看 。 

(3) BEREARI EEZ A 外 ，UTM 产品 在 软件 平台 上 也 专门 针对 
安全 功能 进行 2 EPIR RADAR rinman: tin, 可 以 最 大 限度 
也 发 挥 硬件 平 合 彰 能 力 。UTM 产品 的 操作 系统 及 周边 软件 模块 可 以 对 目标 数据 进行 智能 化 
的 管理 ， 并 具有 专门 的 实时 性 设计 ， 提 供 实时 内 容重 组 和 分 析 能 力 ， 可 以 有 效 地 发 挥 防 病 
毒 、 防 火 墙 、VPN 等 子 系统 功能 。 

(4) 紧凑 型 模式 识别 语言 (Compact Pattern Recognition Language)。 这 是 为 了 快速 执行 完 
全 内 容 检测 而 设计 的 。 这 种 语言 可 以 在 同样 的 软 硬 件 平台 下 提供 高 得 多 的 执行 效能 ， 并 且 
可 以 使 防 病毒 、 防 火 墙 、 入 侵 检测 等 多 种 安全 功能 的 安全 威胁 辨识 工作 获得 更 好 的 协同 能 
力 。 另 外 ， 这 种 实现 方式 还 有 利于 集成 更 先进 的 启发 式 算法 以 应 对 未 知 的 安全 威胁 。 

(5) 动态 威胁 防护 系统 (Dynamic Threat Prevention System)。 这 是 在 传统 的 模式 检测 技术 
上 结合 了 未 知 威胁 处 理 的 防御 体系 。 动 态 威胁 防护 系统 可 以 将 信息 在 防 病毒 、 防 火 墙 和 入 
侵 检测 等 子 模块 之 间 共 享 使 用 ， 以 达到 检测 准确 率 和 有 效 性 的 提升 。 这 种 技术 是 业界 领先 
的 一 种 处 理 技术 ， 也 是 对 传统 安全 威胁 检测 技术 的 一 种 颠覆 。 

5. 云 计 算 安 全 性 

云 计 算是 一 个 虚拟 的 计算 资源 池 , 它 通过 互联 网 提供 给 用 户 使 用 资源 池内 的 计算 资源 。 
完整 的 云 计 算是 一 整个 动态 的 计算 体系 ， 提 供 托 管 的 应 用 程序 环境 ， 能 够 动态 部 署 、 动 态 
分 配 / 重 分 配 计算 资源 、 实 时 监控 资源 使 用 情况 。 云 计算 通常 具有 一 个 分 布 式 的 基础 设施 ， 
并 能 够 对 这 个 分 布 式 系统 进行 实时 监控 ， 以 达到 高 效 使 用 的 目的 。 


(2) ASIC 的 应 用 。ASIC 是 被 广泛 应 用 于 
全 产品 中 ASIC 的 应 用 是 满足 处 理 效能 的 3 
内 容量 相 比 于 传统 的 安全 设备 大 大 
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风险 。 
1) 优先 访问 权 风 险 
- 般 来 说 ， 企 业 数 据 都 有 其 


优先 访问 权 的 并 不 是 相应 企业 ， 而 是 云 计算 服务 商 。 这 就 不 能 排除 企业 数据 被 汇 露 出 去 的 


机 密 性 。 这 些 企业 把 数据 交 给 云 计算 服务 商 后 ， 具 


可 能 性 。Gartner 为 此 向 企业 用 户 提出 建议 ， 在 选择 使 用 云 计算 服务 之 前 ， 应 要 求 服 
供 其 开 管理 员 及 其 他 员工 的 相关 信息 ， 从 而 把 数据 泄露 的 风险 降 至 最 低 。 


2) 管理 权限 风险 
虽然 企业 用 户 把 数据 交 给 云 
企业 自身 负责 。 传 统 服务 提供 商 




























ARARE, mazg 及 整合 等 事宜 ， 最 终 
有 人 进行 安全 认证 。 但 


К 


计算 服务 商 拒绝 这 样 做 ， 则 意味 着 企 еее 


3) 数据 处 所 风险 

当 企业 用 户 使 用 云 计算 服务 
根本 不 了 解 这 台 服 务 器 放置 在 哪个 
服务 之 前 ， 应 事先 向 云 计算 服务 
mn a 




















也 不 能 保证 做 到 万 无 
用 户 的 数据 进行 





5) 数据 恢 盆 风险 












时 ， 他 们 并 ӨСЕ 数据 被 放置 在 哪 台 服 务 器 上 ， 
ИОТ 企业 用 户 在 选择 使 有 
ы 2. 





















-服务 商 是 否 有 权 拒绝 提交 
4) 数据 隔离 风险 
在 云 计 算 服务 平台 中 ne АЖЫ К, Р 


аппег 认为 ， уе етин 
er 报告 5. 各 在 很 多 情况 下 并 不 有 效 ， 而 且 数 
后 ， 又 将 降 人 EANA.” 


高 德 纳 咨 询 公 司 Gartner 在 《 云 计 算 安全 风险 评估 》 中 称 ， 虽 然 云 计 算 产业 具有 
巨大 市 场 增长 前 景 ， 但 对 于 使 用 这 项 服务 的 企业 用 户 来 说 ， 云 计算 服务 存在 着 潜在 安全 


有 数据 





务 商 提 











仍 将 
如 果 云 








甚至 
云 计 算 
国 的 司 


他 企 
据 加 т 


即使 企业 用 户 了 解 自己 数据 被 放置 到 哪 台 服 务 器 上 ， 也 得 要 求 服务 商 作出 承诺 ， 必 须 
出 现 重大 事故 时 ， 企 业 用 户 的 数据 无 法 得 到 恢复 。Gartner 











对 所 托管 数据 进行 备份 ， 以 防止 














建议 ， 企 业 用 户 不 但 需 了 解 服务 商 是 否 具有 数据 恢复 的 能 力 ， 而 且 还 必须 知道 服务 商 能 在 





多 长 时 间 内 完成 数据 恢复 。 
6) 调查 支持 风险 
通常 情况 下 ， 如 果 企 业 用 户 

当然 合情合理 。 但 如 果 企 业 用 户 

愿意 提供 ， 原 因 是 云 计算 平台 涉 

到 云 计算 服务 商 的 数据 中 心 。 


试图 展开 违法 活动 调查 ， 云 计算 服务 商 肯 定 不 会 配合 
只 是 想 通过 合法 方式 收集 一 些 数据 ， 云 计算 服务 商 
及 多 家 用 户 的 数据 ， 在 一 些 数据 查询 过 程 中 ， 可 能 





也 未 必 
会 牵涉 








如 果 企业 用 户 本 身 也 是 服务 企业 ， 当 自己 需要 向 其 他 


供 数据 收集 服务 时 ， 则 无 法 求助 于 云 计 算 服 务 商 。 


7) 长 期 发 展 风险 
如 果 企 业 用 户 选 定 了 某 家 云 




















计算 服务 商 ， 最 理想 的 状态 是 : 这 家 服务 商 能 够 一 











户 提 


- 直 平稳 


发 展 ， 而 不 会 出 现 破 产 或 被 大 型 公司 收购 现象 。 其 理由 很 简单 : 如 果 云 计 算 服 务 商 破产 或 
被 他 人 收购 ， 企 业 用 户 既 有 服务 将 被 中 断 或 变 得 不 稳定 。Gartner 建议 ， 在 选择 云 计算 服务 
商 之 前 ， 应 把 长 期 发 展 风险 因素 考虑 在 内 。 
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第 1 章 ”网络 安全 概论 


解决 云 计算 安全 问题 的 根本 办 法 是 国家 要 对 云 计算 厂商 的 安全 性 进行 规范 和 监督 。 依 
法 强制 要 求 云 计算 公司 采用 必要 的 措施 ， 保 证 服务 的 安全 性 。 这 就 要 求 国家 政府 部 门 制定 
相应 的 法 规 ， 对 云 计算 企业 强制 进行 合 规 性 检查 ， 检 查 包括 厂商 对 客户 承诺 的 不 合理 性 、 
厂商 信守 承诺 的 程度 、 厂 商 在 对 待 客户 的 数据 的 审计 和 监管 力度 。 

云 计算 厂商 需要 采用 必要 的 安全 措施 。 云 计算 厂商 内 部 的 网 络 和 大 多 数 企 业 的 网 络 没 
什么 不 一 样 的 地 方 ， 其 要 实施 的 安全 措施 也 是 传统 的 安全 措施 ， 包 括 访问 控制 、 入 侵 防御 、 
反 病 毒 部 署 、 防 止 内 部 数据 泄密 和 网 络 内 容 与 行为 监控 审计 等 。 

云 计算 厂商 要 采用 分 权 分 级 管理 。 为 了 防止 云 计算 服务 平台 供应 商 “ 偷 宕 ”客户 的 数 
据 和 程序 ， 可 以 采取 分 级 控制 和 流程 化 管理 的 方法 。 例 如 ， 将 云 计 算 的 运 维 体系 分 为 两 级 ， 
-级 是 普通 的 运 维 人 员 ， 他 们 负责 日 常 的 运 维 工 作 ， Сы 也 无 法 进入 















































受 控 的 机 房 ， 接 触 不 到 用 户 数据 。 二 级 是 具备 核心 权限 b 们 虽然 可 以 进入 机 房 也 
可 以 登录 物理 主机 ， 但 受到 运 维 流程 的 严格 控制 。 

与 研究 云 计 算 技 术 存在 的 安全 问题 不 同 ， 信 
出 不 穷 的 未 知 攻击 行为 ， 这 被 称 为 “ 云 安全 ” 
客户 端 对 网 络 中 软件 行为 的 异常 进行 监测 联网 中 病毒 和 各 种 恶意 程序 的 最 新 特征 
信息 ， 传送 到 服务 器 端 进行 自动 分 要 М 再 把 清除 病毒 和 恶意 程序 的 解决 方案 分 发 到 
每 一 个 客户 端 。 ажа ЖҰ WO 







域 也 引入 了 云 计算 概念 ， 应 对 层 
(Cloud Security)” 通 过 网 状 的 大 量 








ы. 集 分 析 以 及 个 互联 网 就 是 一 个 巨大 的 “ 杀 
毒 软件 ”， "а" 与 者 就 越 安 全 ， 网 就 会 更 安全 。 


сөзін 小 结 
ов 基本 目标 ， 分 析 了 网 络 安全 保障 体系 建设 的 


主要 内 容 ; 简要 介绍 了 网 络 威胁 的 儿 种 类 型 ; 概括 总 结 了 网 络 安全 国际 标准 和 规范 的 要 点 ; 
介绍 了 网 络 安全 等 级 保护 建设 的 有 关 情 况 。 


15 本 章 习 题 


1. 填空 题 
(1) 网 络 安全 基本 目标 分 别 是 





(2) 保密 性 指 确保 信息 不 泄露 给 的 实体 或 进程 。 

(3) 是 网 络 信息 未 经 授权 不 能 进行 改变 的 特性 。 

(4) 通过 进行 和 可 以 避免 对 交易 行为 的 抵赖 。 
(5) 通信 链 路 的 安全 主要 是 防止 2 

(6) ТСЅЕСОН J 9) 24 个 等 级 ， 它 们 是 














En 


2. 选择 题 


(D ( ，) 是 网 络 信息 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 , 即 网 络 信息 服务 在 需要 
允许 授权 用 户 或 实体 使 用 的 特性 。 


























A. 保密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
(2) 有 意 避 开 系 统 访问 控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正常 使 用 属于 ( o 
A. 破坏 数据 完整 性 в. 非 授权 访问 
C. 信息 泄露 D. 拒绝 服务 攻击 
(3) 可 靠 性 不 包括 ( — )- 
А. 抗 毁 性 В. 保密 性 с. 有效 性 р. 生存 性 


(4) 防火 墙 产品 和 VPN 虚拟 专用 网 能 够 解决 ( 
А. 操作 系统 安全 
C. 应 用 程序 安全 

(5) 保障 信息 完整 性 的 主要 方法 不 包括 ( сы 




















А. 密码 校 验 和 方法 B. 纠 错 编 码 方法 






с. жүз ж ЕТІ 
3， 简 答题 

(1) 什么 是 网 络 安全 ? 网 :哪些 安 kanp 

(2) ОЕ REIA? 


(3) 我 国 的 信息 安全 怀 ia 
条 有 了 哪些 主要 内 容 ? 


O tada анало S 





М язна Ж 
通过 对 本 章 的 学 习 ， ажа Ma 监听 和 协议 分 析 的 概念 ， 掌 握 网 络 层 协议 
监 
方法 


和 传输 层 协议 的 报头 结构 ， құн 
用 网 络 监听 软件 进行 数据 


Y 教学 要 求 


听 软 件 Ки 法 ， 热 练 掌握 使 





ТІР 数据 报 结构 、ARP、ICMP 协议 、TCP、UDP IPv4、IPv6 
学 会 安装 和 使 用 网 络 监听 工具 Sniffer Pro. Wireshark 


Fs 


Ф.а 


Й трпе GE ZR Е f a DG mink istak is] A JHH ja 2 8 С СИН ДА AE аа (АВ ВА тА 
ЖШ ӨТІХІҢ Еа ARAE ВЕЗЕ е IX i BET BER ER] e fE E С е Ар ЗАА IKOFE 
ЗОНЕ ОЕА НЫ WHEA РОР ПЕЕ Ау й Иб BERAE t ayna IKAS R НИЕ ІН” ЖАННАТ 
KRO 
2J 508 А E PB i) CRE L e PEE 22 FE шад Етан. 295 DSE ласа дар тана ENE (R F DE RORE X 
MEHROJ EIN hai E ARo CR EEF E B JÈ IX BJ HA h AROA ТУСА 
EMREN Ч Jü TCP/IP 20е ao I TWB IX 3 Z BE Ha Wila ñ] 
ИРҸ) 





















































(т ЕЕ a ТХ ДАЕ EAE FHE Есту 


` Ин РС JD naj барн ӨНЕС ЕВА (W PIE] А EQ hh ае BJ ТЗ ТІГЕР 


2.1 数据 分 析 


劳 Sniffer Pro 代 i АНИС 5- 
网 ж 
< 







以 太 网 的 通信 是 基于 广播 方式 的 法 意味 着 在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 
到 物理 媒体 上 传输 的 数据 ， 而 网 络 接口 都 有 it 即 MAC 地 址 ， 
长 度 为 48 F, 一 般 来 i 网 卡 上 的 мло: :不 同 的 。 在 МАС 地 址 和 1IP 地 址 
间 使 用 ARP #1 ВА! 义 进行 相互 转换 。 


2.1.1 网 络 监 原理 жў 


通常 一 个 网 络 接口 只 接收 两 种 数据 帧 。 

(1) 与 自己 硬件 地 址 相 匹配 的 数据 帧 。 

(2) 发 向 所 有 机 器 的 广播 数据 帧 。 

网 卡 负责 数据 的 收发 ， 它 接收 传输 来 的 数据 帧 ， 然 后 网 卡 内 的 单片机 程序 查看 数据 由 
中 的 目的 МАС 地 址 ， 根 据 计 算 机 上 的 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 。 如 
果 接 收 则 接收 后 通知 CPU， 否 则 就 丢弃 该 数据 帧 ， 所 以 丢弃 的 数据 帧 直接 被 网 卡 截断 ， 计 
算 机 根本 不 知道 。CPU 得 到 中 断 信 号 产生 中 断 ， 操 作 系 统 根据 网 卡 的 驱动 程序 设置 的 网 卡 
中 断 程 序 地 址 调用 驱动 程序 接收 数据 , 驱动 程序 接收 数据 后 放 入 信号 堆栈 让 操作 系统 处 理 。 
网 卡通 常 有 4 种 接收 方式 。 

(1) 广播 方式 : 接收 网 络 中 的 广播 信息 。 

(2) 组 播 方式 : 接收 组 播 数据 。 

(3) 直接 方式 : 只 有 目的 网 卡 才能 接收 该 数据 。 

(4) 混杂 模式 : 接收 一 切 通 过 它 的 数据 ， 而 不 管 该 数据 是 否 是 传 给 它 的 。 

早期 的 集线器 是 共享 介质 的 工作 方式 ， 只 要 把 主机 网 卡 设置 为 混杂 模式 ， 网 络 监听 就 
可 以 在 任何 接口 上 实现 ， 现 在 的 网 络 基本 都 用 交换 机 ， 必 须 把 执行 网 络 监听 的 主机 接 在 镜 
像 端口 上 ， 才 能 监听 到 整个 交换 机 上 的 网 络 信息 。 这 就 是 网 络 监听 的 基本 原理 。 


















































第 2 章 网 络 监听 与 TCP/IP 协议 分 析 


大 多 数 交 换 机 都 支持 镜像 技术 ， 称 之 为 “mirroring ”或 “Spanning ”。 镜 像 是 将 交换 
机 某 个 端口 的 流量 复制 到 另 一 端口 (镜像 端口 )， 进 行 监测 。 
网 络 监听 常常 要 保存 大 量 的 信息 ， 并 对 其 进行 大 量 整理 ， 这 会 大 大 降低 处 于 监听 的 主 
机 对 其 他 主机 的 响应 速度 。 同 时 监听 程序 在 运行 的 时 候 需 要 消耗 大 量 的 处 理 器 时 间 ， 如 果 
在 此 时 分 析 数 据 包 ， 许 多 数据 包 就 会 因为 来 不 及 接收 而 被 遗漏 ， 因 此 监听 程序 一 般 会 将 监 
听 到 的 包 存 放 在 文件 中 ， 等 待 以 后 分 析 。 


212 ”网 络 嗅 探 攻 击 与 防范 


网 络 监听 技术 也 可 以 用 于 窃听 网 络 通信 数据 ， 类 似 于 电话 窃听 ， 如 图 2.1 所 示 ， 通 常 
被 称 为 网 络 噢 探 ， 属 于 一 种 攻击 手段 。 % 

















1. AR 


嗅 探 器 能 够 捕获 密码 ， 可 以 记录 下 明文 传送 的 userid 和 password, WP 2.2 所 示 。 这 
是 嗅 探 器 用 于 网 络 攻击 的 主要 目的 。 



































22 ”用 网 络 嗅 探 器 捕获 密码 





Fs Se 


嗅 探 器 还 能 够 捕获 专用 的 或 者 机 密 的 信息 。 比 如 金融 账号 ， 许 多 用 户 很 放心 地 在 网 上 
使 用 自己 的 信用 卡 或 现金 账号 ， 而 嗅 探 器 却 可 以 很 轻松 地 截获 在 网 上 传送 的 用 户 姓 名 、 密 
码 、 信 用 卡号 码 、 截 止 日 期 、 账 号 和 PIN。 比 如 通过 拦截 数据 包 ， 入 侵 者 可 以 很 方便 记录 
别人 之 间 敏 感 的 信息 传送 ， 甚 至 可 以 拦截 整个 的 E-mail 会 话 过 程 。 

嗅 探 器 还 可 以 用 来 宇 探 底层 的 协议 信息 。 

2.， 嗅 探 器 攻击 的 检测 
在 理论 上 ， 其 他 主机 上 的 嗅 探 程序 是 不 可 能 被 检测 出 来 的 ， 因 为 嗅 探 程序 是 一 种 被 动 
地 接受 程序 ， 属 于 被 动 触发 的 ， 它 只 会 收集 数据 包 ， 而 不 发 送 任何 数据 ， 尽 管 如 此 ， 嗅 控 
程序 有 时 候 还 是 能 够 被 检测 出 来 。 

1) 一 种 简单 检测 方法 的 步骤 Ж» 

(1) ЖЕСІР 地 址 为 192.168.13.16 өне er 2, “ЕЙ! МАС 地 址 确定 为 













































































(3) 修改 ARP H ІР 地 址 192.138.13.16 MAC 地 址 。 

(4) 用 ping 命令 ping 这 个 IP 地 址 K 

(5) 没有 任何 人 能 够 看 到 发 送 的 因为 每 台 计 算 机 的 МАС 地 址 无 法 与 这 个 数据 
包 中 的 目的 MAC 相符 ， 所 以 ，3 水 该 会 被 丢弃 ; :但是 嗅 探 器 有 可 能 接收 这 个 数据 。 
АС 包 没 有 被 是 说 ， 很 有 可 能 有 噢 探 器 存在 。 


00:40:63:18:0E:78。 
(2) 确保 机 器 是 在 这 个 局 域 网 中 间 。 AN 




















(1) 对 于 怀疑 运行 监听 程序 的 机 器 ， 用 1 地 址 和 错误 的 物理 地 址 封装 包 ， 然 后 
运行 ping MA, X Ú плита бая 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 








(6) 如 果 看 到 了 应 答 ， 24 
2) Do o. 








址 ， 但 处 于 的 机 器 能 接收 ， 如 困 它 不 反 向 检查 地 址 的 话 ， 就 会 响应 。 
(2) 向 网 上 发 大 量 不 存在 的 物理 地 址 的 包 ， 由 于 监听 程序 分 析 和 处 理 大 量 的 数据 包 时 








要 占用 很 多 的 CPU 资源 ， 这 将 导致 性 能 下 降 。 这 种 方法 的 难度 比较 大 。 

(3) 使 用 反 监 听 工 具 进 行 检测 。 

3. 网 络 嗅 探 的 防范 对 策 

加 络 嗅 探 就 是 使 网 络 接口 接收 不 属于 本 主机 的 数据 。 计 算 机 网 络 通常 建立 在 共享 信道 

上 ， 以 太 网 就 是 这 样 一 个 共享 信道 的 网 络 ， 其 数据 报头 包含 目的 主机 的 硬件 地 址 ， 只 有 硬 

件 地 址 匹配 的 机 器 才 会 接收 该 数据 包 。 一 个 能 接收 所 有 数据 包 的 机 器 被 称 为 杂 错 节点 。 通 

常 账 户 和 密码 等 信息 都 以 明文 的 形式 在 以 太 网 上 传输 ， 一 旦 被 黑客 在 杂 错 节点 上 嗅 探 到 ， 

户 就 可 能 会 遭 到 损害 。 

对 于 网 络 嗅 探 攻击 ， 可 以 采取 以 下 一 些 措施 进行 防范 。 

(1) 加 密 : 一 方面 可 以 对 数据 流 中 的 部 分 重要 信息 进行 加 密 ， 另 一 方面 也 可 只 对 应 

层 加 密 ， 后 者 将 使 大 部 分 与 网 络 和 操作 系统 有 关 的 敏感 信息 失去 保护 。 选 择 何 种 加 密 方式 

取决 于 信息 的 安全 级 别 及 网 络 的 安全 程度 。 
(2) 划分 VLAN: VLAN( 虚 拟 局 域 网 ) 技 术 可 以 有 效 隔离 内 网 不 同 部 门 间 的 主机 ， 如 图 2.3 

所 示 。 通 过 划分 VLAN 能 防止 大 部 分 基于 网 络 嗅 探 的 入 侵 。 
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NT Sniffer 软件 支持 的 协议 
丰富 ， 解 码 分 析 速 度 快 。 其 ro 版 可 шен Windows 平台 上 。 
Sniffer 软件 的 主要 功 f 


(1) НМ А РАНУ Т. $ 


ЕЕ ТЕЛІ ЖЕЗ N 
活动 。 же 


Sniffer 可 以 运行 在 路 由 器 或 有 路 由 器 功能 的 主机 上 , 这 样 就 能 对 大 量 的 数据 进行 监控 。 
Sniffer 几乎 能 得 到 任何 以 太 网 上 传送 的 数据 包 。 
在 以 太 网 中 Sniffer 将 系统 的 网 络 接口 设 定 为 混杂 模式 。 这 样 ， 它 就 可 以 监听 到 所 有 流 
经 同一 以 太 网 网 段 的 数据 包 ， 而 不 管 它 的 接受 者 或 发 送 者 是 不 是 运行 Sniffer 的 主机 。 

除 Sniffer Pro 外 ，Wireshark 也 是 非常 优秀 的 一 款 网 络 监听 软件 ， 它 是 著名 的 软件 
Ethereal 的 升级 版 。 读 者 可 以 下 载 wireshark-win32-1.1.3.zip。 值 得 推荐 的 是 Wireshark 的 安 
装 无 需 重启 系统 ， 十 分 便于 实验 教学 。 
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Sniffer 软件 是 NAI 公司 推出 的 



















































网 络 层 协 议 将 数据 包 封装 成 IP 数据 报 ， 并 运行 必要 的 路 由 算法 ， 它 有 4 个 互联 协议 。 
(1) 网 际 协议 IP): 在 主机 和 网 络 之 间 进 行 数据 包 的 路 由 转发 。 

(2) 地 址 解析 协议 (ARP): 获得 同一 物理 网 络 中 的 硬件 主机 地 址 。 

(3) 网 际 控制 报 文 协议 (ICMP): 发 送 消息 ， 并 报告 有 关 数 据 包 的 传送 错误 。 

(4) 互联 组 管理 协议 IGMP): ІР 主机 向 本 地 多 路 广播 路 由 器 报告 主机 组 成 员 。 
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224 IP 数据 报 结构 
ІР 协议 面向 无 连接 ， 主 要 负责 在 主机 间 寻 址 并 为 数据 包 设 定 路 由 。 在 交换 数据 前 它 并 
不 建立 会 话 ， 因 为 它 不 保证 正确 传递 ， 另 一 方面 ， 数 据 在 被 收 到 时 ， 卫 不 需要 回复 确认 信 
息 ， 所 以 它 是 不 可 靠 的 。 
ІР 数据 报 的 格式 如 图 2.4 所 示 。 
0 15 16 СЫ 
ПТ ERM] segua eiB kecet 
16 位 标识 | =] 13 位 片 偏 移 



























































8 位 生存 时 间 (TTL) 8 位 协议 
32 位 源 IP 地 址 


32 位 日 的 地 
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2.2.2 ARP 


ARP( 地 上 ai 理 网 络 中 的 主机 的 硬件 地 址 。 要 在 网 络 上 通信 必 
须知 道 对 方 主 构 特 便 件 地 址 ， 地 址 解析 就 是 将 主机 ІР 地 址 映射 为 硬件 地 址 的 过 程 。 

ыр ІР 地 址 解析 为 硬件 地 址 的 过 程 描述 如 下 。 

(1) 当 一 台 主机 要 与 别 的 主机 通信 时 ， 初 始 化 ARP 请 求 。 当 源 主机 制定 目的 主机 的 ІР 
地 址 是 本 也 IP 时 ， 源 主机 就 在 ARP 缓存 中 查找 目标 主机 的 硬件 地 址 。 

(2) 如 果 找 不 到 映射 ，ARP 建立 一 个 请 求 ， 源 主机 ІР 地 址 和 硬件 地 址 会 被 包括 在 请 求 
中 ， 该 请 求 通过 广播 ， 使 所 有 本 地 主机 均 能 被 接收 并 处 理 。 

(3) 该 网 段 上 的 每 台 主机 都 收 到 广播 并 寻找 相符 的 IP 地 址 。 

(4) 当 目 标 主机 断定 请 求 中 的 ІР 地 址 与 自己 的 相符 时 ,直接 发 送 一 个 ARP 答复 , 将 自 
己 的 硬件 地 址 传 给 源 主 机 。 源 主机 收 到 回答 后 ， 更 新 它 的 ARP 缓存 ， 建 立 起 了 通信 。 

如 果 目 标 主机 的 IP 地 址 是 一 个 远程 网 络 主机 ІР, 那么 ARP 将 广播 一 个 路 由 器 的 地 址 。 
远程 人 P 地 址 解析 为 硬件 地 址 的 过 程 描述 如 下 。 

(1) 初始 化 通信 请 求 时 ， 得 知 目标 IP 地 址 为 远程 地 址 。 源 主机 在 本 地 路 由 表 中 查找 ， 
若 无 ， 源 主机 则 认为 是 默认 网 关 的 ІР 地 址 。 在 АВР 缓存 中 查找 符合 该 网 关 记录 的 МАС 
地 址 。 

(2) 若 没 找到 该 网 关 的 记录 ，ARP 将 广播 请 求 网 关 地 址 而 不 是 目标 主机 的 地 址 。 路 由 
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器 用 自己 的 硬件 地 址 响应 源 主机 的 ARP 请 求 。 源 主机 则 将 数据 包 发 送 到 路 由 器 ， 以 便 转 发 
目标 主机 所 在 的 网 络 ， 并 最 终 到 达 目标 主机 。 

(3) 在 路 由 器 上 , H IP 协议 决定 目标 IP 地 址 是 本 地 还 是 远程 。 如 果 是 本 地 ， 路 
ARP( 组 存 或 广播 ) 获 得 硬件 地 址 。 如 果 是 远程 ， 路 由 器 在 其 路 由 表 中 查找 该 网 关 ， 然 后 运用 
ARP 获得 此 网 关 的 硬件 地 址 。 数 据 包 被 直接 发 送 到 下 一 个 目标 主机 。 

(4) 目标 主机 收 到 请 求 后 ,形成 ICMP 响应 。 因 源 主机 在 远程 网 上 , 将 在 本 地 路 由 表 中 
查找 源 主机 网 的 网 关 。 找 到 网 关 后 ，ARP 即 获取 它 的 硬件 地 址 。 

(5) 如 果 此 网 关 的 硬件 地 址 不 在 ARP 缓存 中 , 则 通过 ARP 广播 获得 。 一旦 它 获得 硬件 
地 址 ，ICMP 响应 就 送 到 路 由 器 上 ， 然 后 传 到 源 主 机 。 


2.2.3 ICMP Ж» 

ICMP(Intemet 控制 报 文 协议 ) 用 于 报告 错误 并 对 e A 是 他 层 的 一 个 组 
成 部 分 ， 它 负责 传递 差错 报 文 及 其 他 需要 注意 
ICMP 报 文通 常 被 IP 层 或 更 高 层 协议 ( 
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P) 使 用 ， 一 些 ICMP 报 文 把 差错 报 文 
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给 用 户 进程 。 K 
ICMP 报 文 是 在 ІР 数据 报 内 部 人 图 2.5 所 示 。 


аз» ТІ! 0—4 








X 
2А 20571 
人 J IP 数据 报 
ICMP 数据 包 结 构 如 图 2.6 所 示 。 
0 7% 15 16 31 
| 8 位 类 型 | 8 位 代码 | 16 位 检验 和 | 





(不 同类 型 和 代码 有 不 同 的 内 容 ) 





2.6 ICMP 数据 包 结构 


类 型 : 8 位 类 型 字段 ， 表 示 ICMP 数据 包 类 型 。 
代码 : 8 位 代码 域 ， 表 示 指 定 类 型 中 的 一 个 功能 。 
校 验 和 : 数据 包 中 ICMP 上 的 一 个 16 位 校 验 和 。 


2.2.4 IGMP 


IGMP( 互 联 组 管理 协议 ) 把 信息 传 给 别 的 路 由 器 ， 以 使 每 个 支持 多 路 广播 的 路 由 器 获知 
哪个 主机 组 处 于 哪个 网 络 中 。 


Fs Se 


正如 ICMP 一 样 ，IGMP 也 被 当做 ІР 层 的 一 部 分 。IGMP 报 文通 过 IP 数据 报 进行 传输 
有 固定 的 报 文 长 度 , 没有 可 选 数据 项 。 图 2.7 显示 了 IGMP 报 文 是 如 何 封装 在 IP 数据 报 中 的 。 


Б IP 数 据 报 - 
IP 首 部 ICMP 报 文 


20 字 节 
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传输 协议 在 计算 机 之 间 提 供 通信 会 话 。 传 输 协议 的 选择 根据 数据 传输 方式 而 定 。 常 
的 两 个 传输 协议 如 下 。 

(Т) 传输 控制 协议 (TCP): 提供 了 面向 连接 的 通信 ， 为 应 用 程序 提供 可 靠 传输 的 通信 连 
接 。TCP 适合 于 一 次 传输 大 批 数据 的 情况 ， 并 适用 于 要 求 得 到 响应 的 应 用 程序 。 

(2) 用 户 数据 报 协 议 (UDP): 提供 了 无 连接 通信 ， 且 不 对 传送 包 进 行 可 靠 的 保证 ， 适 合 
于 一 次 传输 小 量 数据 的 情况 ， 可 靠 性 由 应 用 层 负 责 。 






































2.3.1 TCP 


TCP 提供 一 种 面向 连接 的 、 可 靠 的 、 字 节 流 服务 。 面 向 连接 意味 着 两 个 使 用 TCP 的 应 
用 在 彼此 交换 数据 之 前 必须 先 建立 一 个 TCP 连接 。 
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TCP 数据 被 封装 在 一 个 IP 数据 报 中 ， 如 图 2.8 所 示 。 














如 果 不 计 任 选 字段 ，TCP 通常 是 20 个 字 节 。TCP 数据 报 结构 如 图 2.9 所 示 。 
IP 数 据 报 - 
- TCP 报 文 段 
| IP 首 部 | TCP 首 部 | TCP 数 据 








20 宁 节 20 字 节 


28 TCP 首部 的 数据 格式 

















29 TCP 数据 报 结构 


每 个 TCP 段 都 包含 源 端 和 目的 端的 端口 号 ， 用 于 寻找 发 送 端 和 接收 端 应 用 进程 。 这 两 
个 值 加 上 IP 首部 中 的 源 端 IP 地 址 和 目的 端 耳 地 址 就 可 以 唯一 地 确定 一 个 TCP 连接 。 

序号 用 来 标识 从 TCP 发 送 端 向 TCP 接收 端 发 送 的 数据 字 节 流 ， 它 表示 在 这 个 报 文 段 
中 的 第 一 个 数据 字 节 。 如 果 将 字 节 流 看 作 在 两 个 应 用 程序 间 的 单 向 流动 ， 则 ТСР 用 序号 对 
每 个 字 节 进 行 计数 。 

当 建 立 一 个 新 的 连接 时 ，SYN 标志 变 为 1。 序 号 字段 包含 由 这 个 主机 选择 的 该 连接 的 
初始 序号 (Initial Sequence Number，ISN)。 该 主机 要 发 送 数据 的 第 一 个 字 节 序号 为 这 个 ISN 
加 1， 因 为 SYN 标志 消耗 了 一 个 序号 。 

既然 每 个 传输 的 字 节 都 被 计数 ， 因 此 确认 序号 就 是 发 送 确认 的 一 端 所 期 望 收 到 的 下 一 
个 序号 。 因 此 ， 确 认 序号 应 当 是 上 次 已 成 功 收 到 的 数据 字 节 序号 加 1。 只 有 ACK 标志 为 1 
时 ， 确 认 序号 字段 才 有 效 。 发 送 АСК 无 需 任何 代价 ， 因 为 32 位 的 确认 序号 字段 和 ACK 
标志 一 样 ， 总 是 TCP 首部 的 一 部 分 。 因 此 ， 可 以 看 到 一 旦 一 个 连接 建立 起 来 ， 这 个 字段 总 
是 被 设置 ，ACK 标志 也 总 是 被 设置 为 1。 
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TCP 为 应 用 层 提供 全 双 工 服务 ， 这 意味 数据 能 在 两 个 方向 上 独立 地 进行 传输 。 因 此 ， 
连接 的 每 一 端 必须 保持 每 个 方向 上 的 传输 数据 序号 。 

首部 长 度 字段 给 出 首部 中 32 位 字 的 数目 。 需 要 这 个 值 是 因为 选项 字段 的 长 度 是 可 变 
的 。 这 个 字段 占 4 位 ， 因 此 TCP 最 多 有 60 字 节 的 首部 。 然 而 ， 没 有 选项 字段 ， 正 常 的 长 
度 是 20 字 节 。 

TCP 的 流量 控制 由 连接 的 两 端 通过 声明 的 窗口 大 小 来 提供 。 窗 口 大 小 为 字 节 数 ， 起 始 
于 确认 序号 字段 指明 的 值 , 这 个 值 是 接收 端正 期 望 接收 的 字 节 。 窗 口 大 小 是 一 个 16 位 字段 ， 
因而 窗口 大 小 最 大 为 65535 字 节 。 

校 验 和 履 盖 了 整个 的 TCP JR Ez: ТСР 首部 和 ТСР 数据 。 这 是 一 个 强制 性 的 字段 ， 
必须 是 由 发 送 端 计算 和 存储 ， 由 接收 端 进行 验证 。 

选项 字段 是 最 长 报 文大 小 (Maximum Segment Size, M 个 连接 方 通常 都 在 通信 的 






















































































第 一 个 报 文 段 (为 建立 连接 而 设置 SYN 标志 的 那个 段 ) 个 选项 。 它 指明 本 端 所 能 接 
收 的 最 大 长 度 的 报 文 段 。 x 
2.32 UDP 

UDP 是 一 个 简单 的 、 面 向 数据 报 和 по, 进程 的 每 个 输出 操作 都 正好 产生 一 个 
UDP 数据 报 ， 并 组 装 成 一 份 待 发 送 据 报 。 这 与 面向 流 字符 的 协议 不 同 (如 TCP)， 应 
用 程序 产生 的 全 体 数据 与 真正 发 凑 汐 音 个 IP 数据 报喜 能 没有 什么 联系 。 


UDP 数据 报 封装 成 一 
用 程序 传 给 IP 层 的 数据 
UDP 首部 的 从 学 上 


жы UDP 不 提供 可 靠 性 ， 它 把 应 
БЕЗБЕН ІШ. 








UDP 报 文 段 








UDP 数据 





| IP 首 部 | штен 








2071 syt 
图 2.10 UDP 数据 报 





16 位 源 端口 作 16 H hi L 





16 位 UDP 长 度 16 位 UDP 校 验 和 





数据 (如 果 有 ) 











2.11 UDP 首部 


端口 号 表示 发 送 进程 和 接收 进程 。 由 于 IP 层 已 经 把 ІР 数据 报 分 配给 TCP 或 UDP， 因 
此 TCP 端口 号 由 TCP 查看 ,而 UDP 端口 号 由 UDP 查看 。TCP 端口 号 与 UDP 端口 号 是 相 
互 独立 的 。 
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尽管 相互 独立 ， 但 如 果 TCP 和 UDP 同时 提供 某 种 知名 服务 ， 两 个 协议 通常 选择 相同 
的 端口 号 。 这 纯粹 是 为 了 使 用 方便 ， 而 不 是 协议 本 身 的 要 求 。 

UDP 长 度 字段 指 的 是 UDP 首部 和 UDP 数据 的 字 节 长 度 ， 该 字段 的 最 小 值 为 8 字 节 。 
ІР 数据 报 长 度 指 的 是 数据 报 全 长 ， 因 此 UDP 数据 报 长 度 是 全 长 减 去 ТР 首部 的 长 度 。 

UDP 校 验 和 覆盖 UDP 首部 和 UDP 数据 。 而 IP 首部 的 校 验 和 只 覆盖 IP 的 首部 ， 并 不 
履 盖 ТР 数据 报 中 的 任何 数据 。 

UDP 和 TCP 在 首部 中 都 有 覆盖 它们 首部 和 数据 的 校 验 和 。UDP 的 校 验 和 是 可 选 的 ， 
而 TCP 的 校 验 和 是 必需 的 。 

UDP 校 验 和 的 基本 计算 方法 与 IP 首部 校 验 和 计算 方法 之 间 存在 许多 不 同 的 地 方 。 首 
a rai be de 22 . 次 ， 
Se 计算 校 验 和 而 设置 的 。 伪 
aan күн, Аже: Armani шен 数据 是 否 已 经 正确 到 达 目 的 


Jü, UDP 数据 报 中 的 伪 首 部 格式 如 图 2.12 т N 
如 果 数 据 报 的 长 度 为 奇数 ， 则 在 计算 要 加 上 填充 字 节 。 如 果 校 验 和 的 计算 
结果 为 0， 则 存 入 的 值 为 全 1065535), ,这 容 写 进 制 反 码 计算 中 是 等 效 的 。 如 果 传 送 的 校 验 


和 为 0， 说 明 发 送 端 没有 计算 校 验 和 



























UDP 伪 首部 





EUDP 长 度 
ТА 16 位 目的 端口 号 
16 位 UDP 校 验 和 





UDP 首部 






16 位 UDP 长 度 








数 









填充 字 节 (0) 





212 UDP 校 验 和 计算 过 程 中 使 用 的 各 个 字段 
如 果 发 送 端 没有 计算 校 验 和 而 接收 端 检测 到 校 验 和 有 差错 , 那么 UDP 数据 报 就 要 被 丢 
弃 ， 而 且 不 产生 任何 差错 报 文 。 
UDP 校 验 和 是 一 个 端 到 端的 校 验 和 。 它 由 发 送 端 计算 ， 然 后 由 接收 端 验证 。 其 目的 是 
发 现 UDP 首部 和 数据 在 发 送 端 到 接收 端 之 间 发 生 的 任何 改动 。 


2.4 TCP 会 话 安 全 

















TCP 协议 是 面向 连接 的 ， 收 发 双方 在 发 送 数 据 之 前 必须 建立 一 条 连接 。 
TCP 连接 包括 : 连接 建立 、 数 据 传输 和 连接 终止 。TCP 用 三 次 握手 建立 一 个 连接 。 








Fs Se 


1. 连接 建立 (三 次 握手 ) 

一 对 终端 同时 初始 化 一 个 它们 之 间 的 连接 ， 但 通常 是 由 一 端 打开 一 个 套 接 字 ， 然 后 监 
听 来 自 另 一 方 的 连接 ， 这 就 是 通常 所 指 的 被 动 打开 。 被 动 打开 的 一 端 就 是 服务 器 端 。 而 客 
户 端 通过 向 服务 器 端 发 送 一 个 SYN 来 建立 一 个 主动 打开 , 作为 三 次 握手 的 一 部 分 。 服 务 器 
端 为 一 个 合法 的 SYN 回 送 一 个 SYN/ACK。 最后， 客户 端 再 发 送 一 个 ACK。 这 样 就 完成 了 
三 次 握手 ， 并 进入 了 连接 建立 状态 。 

2， 数 据 传输 
很 多 重要 的 机 制 在 ТСР 的 数据 传送 状态 保证 了 TCP 的 可 鞭 性 和 强壮 性 。 它 们 包括 使 
序号 对 收 到 的 TCP чинели: 0 验 和 来 检测 报 文 段 的 错 





















































误 ; 使 用 确认 和 计时 器 来 检测 和 纠正 丢 包 或 延 时 。 
在 三 次 握手 过 程 中 ， 两 个 主机 的 TCP 层 间 票 ? 
中 的 数据 ， 并 且 还 是 对 应 用 层 的 数据 字 节 i 

9 字 节 编号 为 序号 ， 而 认为 接收 者 的 字 节 编 


-对 序号 和 确认 号 。TCP 报 文 发 送 者 ; 
号 为 确认 号 。TCP wanana A NKV 靠 性 ， 在 接收 到 一 定数 量 的 连续 字 节 流 后 才 发 


送 确 认 。 这 是 对 TCP 的 一 种 扩 常 称 为 选择 确 K)。 选 择 确认 使 得 TCP 接收 者 
可 以 对 乱 序 到 达 的 数据 块 i 认 。 ҳўл. 





8 序号 。 这 些 序号 用 于 标识 字 节 流 
数 。 通 常 在 每 个 TCP 报 文 段 中 都 有 
















3. 连接 终止 х- 
гож 
连接 终止 使 ў 次 握手 ， 每 个 终 ñ 连接 在 此 过 程 中 都 能 独立 地 被 终止 。 因 此 ， 一 
个 典型 的 拆 接 这 棕 需要 每 个 终端 都 提供 一 对 FIN 和 ACK. 


2.5 TCP/IP 报 文 捕获 与 分 析 


报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 进行 完成 ， 图 2.13 是 捕获 面板 的 功能 图 ， 图 中 显 
示 的 是 处 于 开始 状态 的 面板 。 















File Monitor Сәріше|/Шіз ау Тор 
МШ F| (240 Ж) [asa 
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第 2 章 MKHS TCP/IP 协议 分 析 
2.5.1 捕获 过 程 报 文 统 计 








在 捕获 过 程 中 可 以 通过 面板 查看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 ， 如 图 2.14 所 示 。 


搞 获 报 文 的 数 
据 缓冲 大 小 















252 捕获 报 文 查看 


St 人 了 ER 图 2.15 所 示 是 为 捕获 的 报 文 提供 “е 
ЗОТ ЖАЙЫМ ТОНН» 2,15 KE e 7 表格 的 





专家 分 析 
系统 


92.15 报 文 查看 
专家 分 析 系统 提供 了 一 个 智能 的 分 析 平台 ， 对 网 络 上 的 流量 进行 了 一 些 分 析 ， 对 于 分 
析出 的 诊断 乡 果 则 可 以 通过 查看 在 线 帮 助 区 得， 
图 2.16 中 显示 了 在 网 络 中 WINS 查询 失败 的 次 数 及 TCP 重 传 的 次 数 统计 等 内 容 , 以 便 
了 解 网 络 中 高 层 协议 出 现 故 障 的 可 能 点 。 
对 于 某 项 统计 分 析 可 以 通过 鼠标 双击 此 条 记录 来 查看 详细 的 统计 信息 ， 且 对 于 每 一 项 
都 可 以 通过 查看 帮助 来 了 解 其 产生 的 原因 。 






































зї; 


Fe 


Amg 双击 此 记录 可 以 
ШІ 查看 详细 信息 
уелі SNE = 


2002/6/11 158-454 








246 捕获 的 记录 


图 2.17 是 对 捕获 报 文 进行 解码 的 显示 ， 通 常 分 
这 种 结构 显示 。 对 于 解码 主要 要 求 分 析 人 员 对 b 
报 文 。 使 用 该 软件 是 很 简单 的 事情 ， 要 利用 
次 的 协议 了 解 得 比较 透彻 。 ea 个 辅助 的 手段 。 因 涉及 的 内 容 太 多 ， 这 里 
不 对 协议 进行 过 多 讲解 ， А 的 资料 。 


对 于 МАС 地 址 ，Sniffer 软 首部 的 替换 ， 如 00e0fe 开头 的 就 替换 成 Huawei, 
这 样 有 利于 了 解 网 络 上 各 种 相 制造 厂商 信息 3 








， 目 前 大 部 分 此 类 软件 都 采 
部 悉 ， 这 样 才能 看 懂 解 析出 来 的 
分 析 来 解决 问题 ， 关 键 是 要 对 各 种 层 












































Hardvare type + 1 (10Mb Ethernet 
Protocol type + 9800 (IP) 
Length ot hardvare sdóress = я зува 


$o. DA Do o6 og po où pa e €S ae © 41 1f 








217 ”查看 MAC 信息 
利用 该 软件 可 按照 过 滤器 设置 的 过 滤 规则 进行 数据 的 捕获 或 显示 ， 方 法 是 选择 
Capture | Define Filter 命令 和 Display | Define Filter 命令 。 
过 滤器 可 以 根据 物理 地 址 或 PP 地 址 和 协议 选择 进行 组 合 筛选 。 


253 设置 捕获 条 件 


基本 的 捕获 条 件 有 以 下 两 种 。 
(D 链 路 层 捕 获 ， 按 源 MAC 和 目的 MAC 地 址 进行 捕获 ， 输 入 方式 为 十 六 进 制 连续 输 
入 ， 如 00Е0ЕС123456. 
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(2) IP 层 捕获 ， 按 源 IP 和 目的 IP 进行 捕获 。 输 入 方式 为 点 间隔 方式 ， 如 10.107.1.1。 
如 果 选 择 IP 层 捕获 条 件 ， 则 ARP 等 报 文 将 被 过 滤 掉 。 

设置 的 对 话 框 如 图 2.18 所 示 。 

@ 在 Advanced 选项 卡 中 ， 可 以 编辑 协议 的 捕获 条 件 ， 如 图 2.19 所 示 。 

@ 在 协议 选择 树 中 可 以 选择 需要 捕获 的 协议 ， 如 果 什 么 都 不 选 ， 则 表示 忽略 该 条 件 ， 
捕获 所 有 协议 。 

@ 在 Packet Size 选项 组 中 ， 可 以 设置 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 文 。 

@ 在 Packet Туре 选项 组 中 ， 可 以 选择 网 络 上 有 错误 时 是 否 捕获 。 

@ 单 击 Profiles 按钮 ， 可 以 保存 当前 设置 的 过 滤 规 则 ， 在 捕获 主 面板 中 ， 可 以 选择 保 
存 的 捕获 条 件 。 























218 设置 基本 捕获 条 件 


Define Filter 1х] 
Swawary | несе | Data Бабаға Aévancei рывае | 











219 设置 高 级 捕获 条 件 


Fe 


© 在 Data Pattern 选项 卡 中 ， 可 以 编辑 任意 捕获 条 件 (通过 单 击 相应 的 按钮 进行 )， 如 
ІҢ 2.20 所 示 。 


Define Filter ?xl 





ему | Address Data Pattern | Advanced | Buffer | 


01: Source = Station Husrei001105 








2.20 Fo Wr 


2.5.4 ARP 报 文 解码 


> A 图 2.21 所 示 。 


A DiC: Frane 17 arrived at 14224109 9804: frane 
Btation Xircon7BFE84 1 13 DLC: Destination = Station Ниауе1001105 
tation Huavei001105 B= Source = Station Xircon7BFE84 








DIC: Ethertype = 0806 (ARP) 

DIC 

----- АНФ/ЛАНР frane ----- Y ARP: 一 一 ARP/RARP frane ————— 
ARP. 

Hardvare type = 1 (10Mb Ethernet) 

Protocol type = 0800 (IP) 

Length of hardvare address = 6 bytes 


Hardvare type = 1 (10Mb Ethernet) 
Protocol type = 0800 (ІР) 

Length of hardvare address = 6 bytes 
Length of protocol address = 4 bytes 
Opcode 2 (ARP reply) 

Sender's hardvare address = 0010A47BFE04 
Sender's protocol address = [10 11 104 159] 
Target hardvare address = 00Е0ЕС001105 
Target protocol address = [10 11 107 254] 


Length of protocol address = 4 bytes 
Opcode 1 (ARP request) 

Sender's hardvare address = 00E0FC001105 
Sender's protocol address = [10.11.107.254] 
Target hardvare address > 000000000000 
Target protocol address = [10 11 104 159) 


2.21 АКР 报 文 解码 
2.5.5 IP 报 文 解码 


IP 报 文 包 括 卫 协议 头 和 载荷 ， 其 中 对 IP 协议 首部 的 分 析 是 ІР 报 文 分 析 的 重 
关于 IP 报 文 的 详细 信息 请 参考 相关 资料 。 这 里 给 出 了 IP 协议 首部 的 一 个 结构 。 

版 本 : 4 一 一 IPv4。 

首部 长 度 : 每 个 长 度 单位 为 4 字 节 ， 最 大 是 60 字 节 。 

TOS: IP 优先 级 字段 。 

总 长 度 : 单位 为 字 节 ， 最 大 为 65535 字 节 。 

标识 : ІР 报 文 标 识字 段 。 
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标志 : 占 3 字 节 ， 只 用 到 低位 的 两 个 字 节 。 

ВИН: 分 片 后 的 分 组 在 原 分 组 中 的 相对 位 置 ， 共 13 字 节 ， 单 位 为 8 字 节 。 

寿命 ，TTL(Time To Live) 丢 弃 TTL=0 的 报 文 。 

协议 : 携带 的 是 何 种 协议 报 文 。 

首部 校 验 和 : 对 卫 协议 首部 的 校 验 和 。 

J Ір bhk: IP 报 文 的 源 地 址 。 

目的 IP 地 址 : IP 报 文 的 目的 地 址 。 

图 2.22 为 Sniffer X} IP 协议 首部 的 解码 分 析 结 构 ， 和 IP 首部 各 个 字段 相对 应 。 图 2.22 
中 的 报 文 协议 字段 的 编码 为 0x11， 通 过 Sniffer 解码 分 析 转 换 为 十 进 制 的 17， 代 表 UDP 协 
议 。 其 他 字段 的 解码 含义 可 以 与 此 类 似 。 

Ë] P: P Head 








Version = 4. header lengt! 
Type of service = 


? gment offset = 
: Time to live 
7 Protocol 


图 2.22 IP 报 文 解码 
26 本 章 小 结 


本 章 介绍 了 网 络 监听 的 基本 原理 、 应 用 和 具有 代表 性 的 网 络 监 听 工 具 Sniffer Pro, 还 介 
绍 了 分 析 网 络 数据 必须 了 解 的 ТСРЛР 协议 数据 报 结构 等 基础 知识 。 





2.7 本 章 实 训 


实 训 1: 使 用 Sniffer 工具 进行 ICMP 协议 报 文 捕获 与 分 析 
实 训 目的 
练习 Sniffer 工具 的 基本 使 用 方法 ， 用 Sniffer 捕获 报 文 并 进行 分 析 。 








网 络 安全 基础 教程 与 实 训 (第 3 №) 





多 台 PC 联网 ， 预 装 Windows XP 操作 系 
实 训 内 容 

1. 捕获 数据 包 

(1) 选择 Monitor | Matrix 命令 , 此 时 可 看 到 网 络 中 的 Traffic Мар 视图 , 如 图 2.23 所 示 。 


pay Tools Database Window 
Ша) реа =] 
ы| 812 @lzə|21el=ləlel@) z| ej 2 


Tramc Map 





>| 
5| 
[E 
ЕЗ 
ЕЗ 
w 
9! 


|= |9 





1848 [>l 















>% 1 pa 23 查看 renew ss 

(2) 选择 Capture | 200 т, ТЕ қ Қарасы 选项 卡 中 选中 ІР 复 选 框 ， 从 而 

定义 要 捕捉 的 数据 : 如 图 2.24 55 所 示 ，。 
P: E 


28 























图 2.24 ”定义 捕捉 数据 的 过 滤器 图 2.25 Advanced 选项 卡 


(3) 回 到 Traffic Мар 视图 中 ， 选 中 要 捕捉 的 主机 的 他 地址 ， 然 后 单 击 鼠 标 右键 ,选择 
Capture 命令 ，Sniffer 则 开始 捕捉 指定 ІР 地 址 的 主机 的 数据 包 ， 如 图 2.26 所 示 。 


2. 分 析 捕 获 的 数据 包 


(1) 从 Capture Panel 834 
Display 按钮 ， 就 可 以 停止 捕获 























到 捕获 的 数据 包 达 到 一 定数 量 后 ， 就 停止 捕捉 。 单 击 Stop and 
包 ， 如 图 2.27 和 图 2.28 所 示 。 
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“7 Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Matrix ; 47 БОГЕ [DI x 


у Бе Montor Capture ерау Joos Database Wndow Нер. гізі xj 
ETEDI] 
ЕЛЕС ЕЗІРЕІСІЕ 





























2.26 ”捕捉 指定 IP 主机 的 数据 


N 

















到 | 
— жгет Ar 


Show capture panel а! ss 2 and deplay capture @ si 


Е семан Panel 窗口 图 2.28 停止 捕捉 并 显示 数据 


(2) 如 图 2.29 所 示 ， 窗 口中 列 出 了 捕捉 到 的 数据 ， 选 中 某 一 条 数据 后 ， 下 面 分 别 显示 
出 相应 的 数据 分 析 和 原始 的 数据 包 。 如 图 2.30 所 示 ， 单 击 窗口 中 的 某 一 条 数据 ， 可 以 看 型 
下 面相 应 的 地 方 的 背景 变 成 灰色 ， 表 明 这 些 数据 与 之 对 应 。 
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229 Decode 窗口 


б): 


Fs o 


(іле speed әс 100 Mops) ГӨ: Derode e тікі 
9 Ele Моне Captwe Display Joos Database Wndow Hep ізі >l 
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3231 2: 使 用 Wireshark 工具 捕获 并 分 析 T€ Іп 
实 训 目的 % 
学 习 Wireshark 工具 的 基本 使 УХ, JI Wireshagk 梢 获 并 分 析 Telnet 报 文 , 观察 TCP 
协议 创建 连接 的 三 次 握 м, Улама" 
实 训 环境 x > 
两 台 PC 联网 人 十 站 Windows XP АНУ 
SENA К 
1. 安装 和 使 用 Wireshark 软件 
(1) 安装 Wireshark 软件 过 程 ， 如 图 2.31 和 图 2.32 所 示 ，WinPcap 是 一 个 Win32 平台 下 
用 于 抓 包 和 分 析 的 系统 ， 是 随 Wireshark 自动 安装 的 。 


Wireshark 1.1.3 (32-bit) Setup x 








Welcome to the Wireshark 1.1.3 
(32-bit) Setup Wizard 

This wizard wil guide you through the installation of 
уен 


This productis brought to you by 
Before starting the ratslaton, make sure Wireshark is not 
running. 


САСЕ 


TECHNOLOGIES 


Qk West сөне, 


Packet Capturing and Network Analysis Solutions 


r) Саз) 





图 2.31 安装 Wireshark 图 2.32 安装 WinPcap 
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(2) 执行 Wireshark， 如 图 2.33 所 示 ， 选 择 网 卡 ， 如 图 2.34 所 示 。 





Interface List 
g. D 
рерни we 
asa 
LY @ Spie нае 
上 
шел еее 


w S. 








一 as 一 一 一 
езе сөн 
Ааа | [ален asas 


жала 








12655 2273 лысын” r 





2.33 Wireshark 界面 





iii 


2835 
385853 


2.35 ”捕获 到 数据 报 


(4) 使 用 过 滤器 设 定 捕获 条 件 ， 如 图 2.36 所 示 。 图 2.37 所 示 的 是 设 定 了 只 捕获 ICMP 
数据 报 后 捕获 到 的 ICMP 数据 报 。 


























me ores, er 3 WL:TE D.II), Pat; 10,01,77 GAWA LTT) 
上 





图 2.36 ”使 用 过 滤器 2.37 捕获 到 的 ICMP 数据 报 








EE оз 


2. 配置 和 测试 Telnet 远程 登录 服务 


(1) 创建 测试 用 户 账户 ， 令 其 隶属 于 系统 管理 员 组 ， 创 建 一 个 用 于 测试 安全 性 的 文本 
文件 ， 这 里 取 名 yin@88.txt， 内 容 输入 Hello! world!!， 如 图 2.38 和 图 2.39 所 示 。 








配置 文件 | 





жат 


Adninistrators | 
Users 



































УМ а 
图 2.38 GEIRA > AA 创建 测试 用 文本 文件 

D 在 管理 工具 中 的 服装 本 寺中 找到 Teine 0 前 动 ， 如 图 2.40 和 图 2.41 所 示 。 
Telnet 的 层 性 (本 地 计算 机 ) | ? x 
[两 аа Гоя ER 

服务 名 称 TÀ J 

masma: 1 т 

mtv ЖҰННЯРИЫЫИ ЖЕТЕ, Ж = ано ишсе жәр 

可 执行 文件 的 路 径 0 Eb :TH WE 

2 Каса 


C WINDOWSVsystea32Vtlntswr exe 


валы: [已 禁用 ~ 
Raps 


Bsb G) SEW 暂停 的 BEW 





























m= жа RAW 








图 2.40 找到 Telnet 服务 2.41 启动 Telnet 服务 


(3) 先 在 Telnet 服务 器 上 启动 Wireshark， 并 在 过 滤器 上 设 定 捕获 Telnet 数据 报 ， 如 
图 2.42 和 图 2.43 所 示 。 
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Wireshark: Filter Expression - Profile: Defanlt 


Kasa 

















图 2.42， 设 定 捕获 过 滤器 Е |83 开始 捕获 


(4) 在 另 





1A92.168.88.9_ 








图 2.45 测试 Telnet(2) 








E Telnet 192166589 





E 2.47 测试 Telnet(4) 


41 





E 


3. 捕获 并 分 析 Telnet 远程 登录 数据 报 
(1) 分 析 Telnet 建立 连接 的 三 次 握手 协议 ， 如 图 2.48 一 图 2.50 所 示 。 


3 0. 0009: 168.881 192.1 
Ге Frame 3 (66 bytes оп wire, 66 bytes captured) =] 








|е Ethernet 11, src: Vmware_c0:00:08 (00:50:56:с0:00:08), Dst: Vmware_02:08:cc (00:0с:29:02 
|% Internet Protocol, src: 192.168.88.1 (192.168.88.1), Dst: 192.168.88.9 (192.168.88.9) 

|е Transmission control Protocol, src Port: 49707 (49707), ost Port: telnet (23), seq: 0, Lt 
Source port: 49707 (49707) 

Destination port: telnet (23) 

[stream index: 0) 

Sequence number: 0 (relative sequence number) 

Header length: 32 bytes 











window size: 8192 
8 Checksum: Oxffb5 [validation disabled] 


04 02 


4 0.003072 192.168.98.9 192.169.08.1 TCF elast 
Ге Frame 4 (66 bytes on wire, 66 bytes captured 


|е Ethernet Ir, src: Vmware_02:08:cc (00:0c429;0Ab 
|е Internet Protocol, src: 192.168.88.9 6292, 9), Dst: 192.168.88.1 (192.168.88.1) 
|е Transmission control Protocol, sri eget (23), Dst Port: 49707 (49707), seq: 0, Ack: 
Source port: telnet (23) 

Destination port: 49707 (497( 

[stream index: 01 

Sequence number: 0 епсе number) 

Acknowledgement numbe ative ack number) 


pH 
ЕА $... 








249 ”三 次 握手 协议 (2) 








Ге Frame 5 (60 bytes оп wire, 60 bytes captured) 
|е Ethernet II, Src: Vmware_c0:00:08 (00:50:56:с0:00:08), Dst: Vmware 02:08:сс (00:0c:29:02:0¢ 
|8 Internet Protocol, src: 192.168.88.1 (192.168.88.1), Ost: 192.168.88.9 (192.168.88.9) 
| Transmission Control Protocol, src Port: 49707 (49707), Dst Port: telnet (23), Seq: 1, АСК: 

Source port: 49707 (49707) 

Destination port: telnet (23) 

[stream index: 01 

Sequence number: 1 (relative sequence number) 

Acknowledgement number: 1 (relative ack number) 

Header length: 20 bytes 








window size: 65700 (scaled) 
Ж checksum: 0х7469 [validation disabled] 
в [seg/ack analysis] 












<= < 
0 00 40 06 05 Бо cO ав 58 01 cO ав 
0 17 бс c1 ef 01 7d fô 24 ea 50 HN 
0 00 00 00 00 00 00 00 


сез 















图 2.50 三 次 握手 协议 (3) 


(2) Telnet 口令 及 数据 嗅 探 。 选 择 Analyze | Follow TCP Stream 命令 可 以 清楚 地 看 到 
Telnet 使 用 的 明文 口令 信息 和 文本 文件 内 容 ， 如 图 2.51 一 图 523 所 示 。 
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|е Ethernet 11, src: vmwa Я 
|е Internet Protocol, src eqe .168.88.1 (192.168.88.1) 
|Б Transmission control P, t: 49875 (49875), Seq: 1, A 
Source port: telnet (23) 
Destination port: 49875 (49875) 
[stream inde 1 
Sequence number: 1 (relative sequence number) 
[Next sequence number: 22 (relative sequence number)] 
Acknowledgement number: 1 (relative ack number) 





t. 21.9. 
ouid not 1о9 you in usiq 
тау have expired. 
nd password 


ANSI... 


77 [Entire conversation (058 bytes) 





Fellow TCP 










аз 


41712: | N 








可 PT [1;31H 


图 2.53 Telnet 口令 及 数据 嗅 探 (3) 








LL 
28 £ = >J й 


1， 填 空 题 
(D 在 以 太 网 中 ， 所 有 的 通信 都 是 的 。 
(2) 网 卡 一 般 有 4 种 接收 模式 : s 
(3) Sniffer 的 中 文 意思 是 А 
2. 选择 题 
(1) TCP 和 UDP 属于 ( DHX 

А. 网 络 层 в. 数据 链 路 层 C «ФУ 
(2) ARP 0  ) 协 议 。 
A. 网 络 层 в. 数据 链 路 层 Kien D. 以 上 都 不 是 
(3) TCP 连接 的 建立 需要 ( нт" 


А. 1 В. 2 ж 


3. 简 答题 








D. 以 上 都 不 是 

















C.3 D. 4 





(3) 试 画 出 ARP 结构 图 。 


(4) 网 络 层 的 传输 层 ië imta. SS 
(5) 传输 传输 协议 报头 结 答 侯 和 什么 特点 ? 


(6) 使 用 Sstfer 进行 抓 包 时 ， 有 哪儿 种 基本 的 捕获 条 件 ? 




















“е 


ШЕ fB Асе Пе IER RRE Bob ЕЛІ 10000 WIXI ЛЕВ Alice ЕЈ НЛ 





BABY ЕО ООА НЕГЕЕ Alice НА ЕСІН U ENLIL Alice ЖЕ НА En tik 
ЕЕ Зан U PH0W0 383 ФЕ khu: 10000 HSE 5000 HU KERER PEE IX gz FD ku Б sr nf e ӘН JJ nl 
Ааа сат Ез ЛЕГЕ ЕЛЕЛЕРДІГЕЙ 216! 

ІНЕН iha AR Біле i 8 РЧА HDX ph ЛІІН” FARR ЭТЕ SENA gula š K ir hl 8J) 
WB BD ge” РЫМЕН e E 8 ІНДЕ i EEB З га] е R AAE ii 
PE i EnA 8 ФИН JF BV HEIE 3 т А ПАДЕ (НЕ ІН УАН а УІН ІСІ 

ИЕ | ntin SEA Pet puni И ТУРКЕ nti ЕТУІ ШЕЛ ЗЕК СТА 
НИН E AEREE gz k Bh НЫ НІҢ DC në (ңе ERE DER ЗС 27080) ШАА АИЕЛДЕР 
B IXH hh pitin py ЗАС MEOR 0 yU а нн. REFE Ха AUNE Ae h ТХЕ 21) 
АУЕ ЭСИНЕ > HARHA ë 152 01 Ша D2 % SHA A 


3.1 зен 
LAN 


在 对 称 密码 (也 称 单 钥 密 码 ) ЕЛІҢ 角 来 加 密 和 解密 数据 ， 典 型 的 对 称 密 
钥 算 法 是 DES、IDEA 和 RC 管 这 种 密码 算法 5 是 计算 量 小 、 加 密 效 率 高 ,但 在 
分 布 式 系统 上 ss. 


分 布 式 Ииса 
3.1.1 ”对 称 加 密 体 


对 称 密码 eo -个 密 钥 ， 即 加 密 和 解密 的 密 钥 是 对 称 的 ， 
Ықаң 的 单 密 角 密码 系统 3.1 所 示 为 对 称 密码 算法 的 基本 原理 。 

原始 数据 ( 即 明文 ) 经 过 对 称 加 密 算 法 处 理 后 ， 变 成 了 不 可 读 的 密 文 ( 即 乱码 )。 如 果 想 解 
读 原 文 ， 则 需要 使 用 同样 的 密码 算法 和 密 钥 来 解密 ， 即 信息 的 加 密 和 解密 使 用 同样 的 算法 
和 密 钥 。 对 称 密码 算法 的 优点 是 计算 量 小 、 加 密 速度 快 。 缺 点 是 加 密 和 解密 使 用 同一 个 密 
钥 ， 容 易 产生 发 送 者 或 接收 者 单方 面 密 钥 泄露 问题 ， 并 且 在 网 络 环境 下 应 用 时 必须 使 用 另 














































































外 的 安全 信道 来 传输 密 钥 ， 否 则 容易 被 第 三 方 截获 ， 造 成 信息 失 密 。 


密 铀 :6jhKop{sb*\74n-es-(@zx% 

















窗 铀 :6jhKop{sb*\74n-es-(@zx% 


图 3.1 对称 密 码 算法 的 基本 原理 
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在 数据 加 密 系统 中 ， 使 用 最 多 的 对 称 密码 算法 是 DES 及 3DES。 在 个 别 系 统 中 也 有 使 
IDEA、RC 以 及 其 他 算法 的 ， 接 下 来 具体 介绍 DES 算法 。 


3.1.2 DES 算法 


DES 算法 最 初 是 由 ІВМ 公司 在 1970 年 左右 开发 的 ，1977 年 被 美国 选 为 国家 标准 。 以 
前 ， 美 国政 府 每 隔 几 年 就 对 DES 算法 重新 作 一 次 证 明 ， 但 1988 年 ， 美 国政 府 宣布 不 再 证 
明 DES 了 。 对 于 DES 一 直 有 许多 争论 ， 最 大 的 问题 是 它 可 能 有 一 个 未 知 的 弱点 ， 或 者 是 
只 为 NSA( 美 国 国家 安全 局 ) 所 掌握 的 弱点 。 原 来 DES 建议 的 密 钥 长 度 为 64 位 ， 但 在 被 批 
准 成 为 标准 前 减少 为 56 位 ， 于 是 有 人 认为 减少 密 钥 长 度 使 得 美国 政府 可 以 使 用 NSA 功能 
强大 的 计算 机 系统 破译 密码 。 现 在 ,56 位 密 钥 空间 的 DES 算法 已 经 被 认为 是 经 不 起 攻击 的 。 

图 3.2 描述 了 DES 算法 的 工作 原理 。 基 本 上 ，DES 算 的 就 是 16 次 的 近代， 把 
各 块 明文 交织 起 来 并 与 从 密 钥 中 获得 的 值 混合 。 key; р ES 算法 为 例 ， 简 要 介绍 

















































































































DES 算法 的 整个 工作 流程 。 


原始 消息 x 
64 位 所 = АЎ 





























š 10 


翻转 初始 排列 " 


бин 
图 3.2 DES 算法 的 工作 流程 

(1) 在 图 3.2 的 左边 ，64 位 的 明文 被 修改 (排列 ) 以 改变 位 的 次 序 。 

(2) 把 明文 分 成 两 个 32 位 的 块 。 

(3) 在 图 中 的 密码 一 侧 ， 原 始 密 钥 被 分 成 两 半 。 

(4) 密 钥 的 每 一 半 向 左 循环 移 位 ， 然 后 重新 合并 、 排 列 ， 并 扩展 到 48 位 ， 分 开 的 密 钥 
仍然 保存 起 来 供 以 后 的 迭代 使 用 。 

(5) 在 图 中 的 明文 一 边 , 右 侧 32 位 块 被 扩展 到 48 位 ,以 便 与 48 位 的 密 钥 进行 异 或 (XOR) 
操作 ， 在 这 一 步 后 还 要 进行 另外 一 次 排列 。 























Fs 


(6) 把 第 3 步 和 第 5 步 的 结果 (明文 与 密 钥 ) 进 行 XOR 操作 。 

(7) 使 用 置换 函数 把 第 6 步 的 结果 置换 成 32 位 。 

(8) 把 第 2 步 创建 的 64 位 值 的 左边 一 半 与 第 7 步 的 结果 进行 XOR 操作 。 

(9) 把 第 8 步 的 结果 和 第 2 步 创建 的 块 的 右 半 部 分 共同 组 成 一 个 新 块 ， 前 者 在 右边 ， 
后 者 在 左边 。 

(10) 从 第 4 步 开 始 重复 这 个 过 程 ， 返 代 15 次 。 

(11) 完成 最 后 一 次 迭代 后 ， 对 这 个 64 位 块 进行 一 次 翻转 ， 得 到 一 个 64 位 的 密 文 。 

(12) 对 原始 明文 中 的 下 一 个 64 位 块 重复 整个 过 程 ， 直 到 把 原始 消息 加 密 完毕 。 


31.3 DES 算法 实现 


根据 以 上 对 算法 的 描述 ， 下 面 给 出 DES мндн. 
(1) 变换 密 乌 ， 取 得 64 НЯ, TRY Ы, 
(2) 舍弃 64 位 密 钥 中 的 奇偶 校 验 位 ， калды 1CPC-1) 进 行 密 负 变换， 得 到 56 


位 的 密 钥 ， 在 变换 中 ， 奇 偶 校 验 位 可 以 被 舍弃 
数组 3.1 ee, 
57 49 17 9 
R 34 26 18 
ss 59 51 = 352 
Ре " 3 9 L 3 
x Š 55 47 23 15 
Zh- 7 6 Wis 30 22 
хы 4-2 
21 13 5 28 20 12 4 
(3) 将 变换 后 的 密 钥 分 为 两 个 部 分 ， 开 始 的 28 位 称 为 C[0]， 最 后 的 28 位 称 为 D[0]。 
(4) 生成 16 FEH, Yi 三 1。 
(5) 同时 将 C ОША 1 位 或 2 位 ， 根 据 工 值 决 定 左 移 的 位 数 。 
I: 1 2 3 4 5 6 7 8 9 1011 12 13 14 15 16 


左 移 位 数 ， 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 
(6) i CDE ТЕЙӘ b), КН 3.2(PC-2) 变 换 ， 得 到 48 位 的 КІП» 









































数组 3.2 变换 选择 2 (PC-2) 
14 17 11 24 1 5 
3 28 15 21 10 
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(7) 从 5 处 循环 执行 ， 直 到 K[16] 被 计算 完成 。 
(8) 处 理 64 位 的 数据 。 
© 取得 64 位 的 数据 ， 如 果 数 据 长 度 不 足 64 位 ， 应 该 将 其 扩展 为 64 位 (例如 补 零 )。 
@ 将 64 位 数据 按 以 下 数组 3.3 变换 (IP)。 
数组 3.3 初始 变换 (IP) 
58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
8 
1 





64 56 48 40 32 24 16 
57 49 41 3% 25 17 9 
39 51 43 1352 :272.19 


61 53 45 37 29 1 5 
63 55 47 39 3 15 7 
(9) 将 变换 后 的 数据 分 为 两 部 分 ， Hen L[0]， 最 后 的 32 位 称 为 R[0]。 
(10) 116 个 子 密 钥 加 密 数据 ， 初 
© 将 32 位 的 R[I- ИС: 34 М) ЕП-11- 
34 7 Jë Ks 





Еи 5 10 Тар 13 
2- 12 13 Де 16 17 
1 16 17 
~ 20 1 2 23 24 5 
24 25 26 27 28 29 
28 29 30 3 32 1 
© Жи ЕП-ЦІ ЖІ КІП, ШІ E[I-1] XOR КШ. 
© 将 异 或 后 的 结果 分 为 8 个 6 位 长 的 部 分 ,第 1 一 6 位 称 为 B[1], 第 7 位 到 第 12 位 称 
为 B[2]， 以 此 类 推 ， 第 43 一 48 位 称 为 B[8]。 
@ 按 S 表 变换 所 有 的 BIL #008 J=. MEAE S 表 的 值 都 被 当 作 4 位 长 度 处 理 。 
а. 将 B 四 的 第 1 位 和 第 6 位 组 合 为 一 个 2 位 长 度 的 变量 M, M 作为 在 S 四 中 的 行 号 。 
b. 将 B 四 的 第 2 一 5 位 组 合 ， 作 为 一 个 4 位 长 度 的 变量 N，N 作为 在 S 四 中 的 列 号 。 
с. 用 SD][M][N] 来 取代 ВІЛ- 
数组 3.5 替换 盒 1(S[1]) 


























14 4 13 1 2. ІЗ Hí 8 З 10 6 25 9 0 7 
00 18 了 4 14 2 13 1 10 6 І2 1 9 5 3 8 
4 1 14 8 536 2 ІП 15 12 9 7 3 105 0 
15 12 8 2 4 9 l 7 $ ИЗ 14 10 0 6 13 


Fe 


2 


12 
11 


2 
15 
11 
1 


10 


14 


14 6 
7.15 
п 10 
1 3 
14 6 
9 3 
9 8 
0 6 
з 0 
5 6 
0 12 
6 10 
| 7 


25,7 
5 2 
2 9 
14 15 
7 4 
13 12 
$ i 
4 6 
8 10 
1 9 
7 4 


3 15 


6 
15 3 


9 8 


9 
15 0 
7 


14 ` x 
6 
12: 9 
8 12 
5 15 
0 8 
9 1 
2227 
4 10 
101 
3 7 
12 14 
10 8 


2 


5 
11 


S[3] 


5 
10 
0 


1 
2 
H 


7 4 
4. 


2 
13 


[5] 


15 


d. 从 a 处 循环 执行 ， 直 到 B[8] 被 替代 完成 。 


е. 将 BI] 一 B[8] 组 合 ， 按 以 下 数组 3.6(P) 变 换 ， 得 到 P. 





q 2 
0 1 
8 12 
6 7 
13 12 
8 5 
1 2 


5, 


四 
oau ж 


12. 9 


14 


П 
12 


12 5 


15 МҚ: 


15 
10 
5 
9 


14 


I А К 14 5 
б 
r УІ. 


13 
3 


10 
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数组 3.6 变换 P 
16 20 21 
9 12 28 17 
1 415 237 26 
5 18 з 10 
2 8 24 14 
32: 277 82 9 
19 13 30 6 
2 п 4 25 
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© 异 或 P 和 L[I-1]， 并 把 结果 放 在 КЦ, Е RIJP ы 


ЦЕ). 
@ Ма 处 开始 循环 执行 ， 直 到 K[1 


6 循环 执行 ， 直 到 K[16] 被 变换 完成 。 < 
(11) 组 合 变换 后 的 R[16]L[16]( 注 意 : R 作为 了 位 )， 


得 到 最 后 的 结果 
数组 3. 
40 8 4 
39 7 
A 
x 
- 5 3 
X r 34 2 
以 上 就 是 对 DES яе 


3.2 


正如 上 一 节 的 描述 ， 对 称 密码 体制 
和 替换 运算 ,因此 运算 速度 可 以 很 快 。 人 
可 以 产生 的 密 钥 量 就 很 大 ， 如 100 个 用 








Та, (ІР-1) 


按 以 下 数组 3.7(P-1T) 变 换 


56 24 64 32 


5 55 2 63 3 


14 54 30 


13 Sa 61 29 
4 12 0 60 2 
4 „Е Y 19 59 2 
42 вт 50 18 58 26 
4 9 49 


177 57 2 


公 钥 密码 体制 





约 5000 个 密 钥 。 为 克服 这 种 缺陷 就 产生 了 公 钥 密码 算法 。 


在 公 钥 密码 算法 中 ， 使 用 两 个 密 钥 
适合 在 分 布 式 系统 中 应 用 。 当 两 个 用 户 
发 送 的 数据 ; 接收 方 则 使 用 自己 的 私 钥 
容易 解决 密 钥 管理 问题 ， 消 除了 在 网 上 





解密 所 接收 的 数据 。 由 了 





公 钥 密码 算法 不 能 靠 简单 的 移 位 和 











替换 来 实现 ， 而 是 依赖 了 


的 运算 主要 是 较为 容易 在 计算 机 程序 中 执行 的 移 位 
但 如 果 网 络 环境 中 各 方 两 
户 两 两 间 都 要 产生 唯一 密 铀 ， 则 需要 (100X99)/2， 


两 之 间 的 通信 都 需要 加 密 ， 


( 公 钥 和 私 钥 ) 分 别 加 密 和 解密 数据 。 这 种 算法 特别 
进行 加 密 通信 时 ， 发 送 方 使 用 接收 方 的 公 钥 加 密 所 


上 私 钥 不 在 网 上 传送 ， 比 较 


交换 密 钥 所 带 来 的 安全 隐患 。 


数学 计算 中 的 所 谓 的 难 解 


问题 。 因 此 公 钥 密码 算法 的 缺点 就 是 计算 量 大 、 速 度 慢 ， 不 适合 加 密 长 数据 。 典 型 的 公 钥 








密码 算法 是 RSA 算法 。 





Fe 


3.21 公 钥 密码 体制 的 概念 


公 钥 密码 算法 是 指 加 密 和 解密 数据 使 用 两 个 不 同 的 密 钥 ， 即 加 密 和 解密 的 密 钥 是 不 对 
称 的 ， 这 种 密码 系统 也 称 为 公 钥 密码 系统 (Pubilic Key Cryptosystem，PKC)。 公 钥 密 码 学 的 








概念 首先 是 由 Diffie 和 Hellman 两 个 人 在 1976 年 发 表 的 
名 论文 中 提出 的 ， 并 引起 了 很 大 的 龙 动 。 该 论文 曾 获得 

与 对 称 密码 算法 不 同 的 是 ， 公 钥 密 码 算法 将 随机 产 
其 密 钥 是 公开 的 ， 称 为 公 钥 ;另外 一 个 用 来 解密 密 文 ，3 




















所 示 为 公 钥 密码 算法 的 基本 原理 。 





-篇 名 为 《密码 学 的 新 方向 》 的 著 


IEEE 信息 论 学 会 的 最 佳 论文 奖 。 
生 两 个 密 钥 : 一 个 用 于 加 密 明文 ， 
其 密 钥 是 秘密 的 ， 称 为 私 钥 。 图 3.3 

















N m33 ойғаиананя 
如 果 两 个 人 使 用 公 钥 密码 算法 传输 机 密 信息 ， 则 发 送 者 首先 要 获得 接收 者 的 公 钥 ， 并 


使 用 接收 者 的 公 钥 加 密 原文 ， 然 后 将 密 文 传输 给 接收 者 。 接 收 者 使 用 自己 的 私 钥 才能 解密 
-。 由 于 加 密 密 钥 是 公开 的 ， 不 需要 建立 额外 的 
用 户 自己 保管 的 ， 与 对 方 无 关 ， 从 而 避免 了 在 对 称 密码 系统 中 容易 产生 的 任何 一 方 单方 面 

















安全 信道 来 分 发 密 钥 ， 而 解密 密 钥 是 由 



































密 钥 泄露 问题 ， 以 及 分 发 密 钥 时 的 不 安全 因素 和 额外 的 开销 。 公 钥 密码 算法 的 特点 是 安全 
性 高 、 密 钥 易 于 管理 ， 缺 点 是 计算 量 大 、 加 密 和 解密 速度 慢 。 因 此 ， 公 钥 密 码 算法 比较 适 


合 于 加 密 短信 息 。 在 实际 应 用 中 ， 通 常 采 用 由 公 铀 


密码 算法 和 对 称 密码 算法 构成 混合 密码 


系统 ， 发 挥 各 自 的 优势 。 使 用 对 称 密码 算法 来 加 密 数 据 ， 加 密 速度 快 ， 使 用 公 钥 密码 算法 


来 加 密 对 称 密码 算法 的 密 钥 ， 形 成 高 安全 性 的 密 钥 


名 和 身份 验证 机 制 。 





公 钥 密码 算法 除了 用 于 加 密 数 据 外 ， 还 可 以 用 














分 发 信道 ， 同 时 还 可 以 用 来 实现 数字 签 








于 数字 签名 。 数 字 签 名 主要 提供 信息 交 














换 时 的 不 可 和 否认 性 ， 公 钥 和 私 钥 的 使 用 方式 与 数据 加 密 恰 好 相反 。 当 两 个 用 户 进行 通信 时 ， 
发 送 方 首先 使 用 自己 的 私 钥 来 加 密 某 些 特征 信息 (数字 签名 )， 表 明 对 发 送 的 数据 的 认可 ， 

















然后 将 数据 和 签名 信息 一 起 发 送 给 对 方 。 























届时 接收 方 使 








发 送 方 的 公 钥 来 解密 签名 信息 ， 


并 验证 签名 信息 。 典 型 的 数字 签名 算法 是 DSA 算法 ，RSA 算法 也 可 用 于 数字 签名 。 
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在 公 钥 密码 算法 中 ,最 常用 的 是 RSA 算法 。 在 密 钥 交换 协议 中 , 经 常 使 用 Diffie-Hellman 
算法 。 接 下 来 具体 介绍 RSA 算法 。 


3.2.2 RSA 算法 


当前 最 著名 、 应 用 最 广泛 的 公 钥 系统 RSA 是 在 1978 年 ， 由 美国 麻 省 理工 学 院 (MIT) 
的 Rivest, Shamir 和 Adleman 在 题 为 《获得 数字 签名 和 公开 钥 密码 系统 的 方法 》 的 论文 中 
提出 的 。 它 是 一 个 基于 数论 的 公 钥 密码 体制 ， 是 一 种 分 组 密码 体制 。 其 名 称 来 自 于 3 个 发 
明 者 的 姓名 首 字母 。 它 的 安全 性 是 基于 大 整数 素 因 子 分 解 的 困难 性 ， 而 大 整数 素 因子 分 解 
问题 是 数学 上 的 著名 难题 , 至 今 仍 没有 有 效 的 解决 方法 , 因此 可 以 确保 RSA 算法 的 安全 性 。 
RSA 系统 是 公 钥 系统 的 最 具有 典型 意义 的 方法 ， 大 多 数 使 用 公 钥 密码 进行 加 密 和 数字 签名 
的 产品 和 标准 使 用 的 都 是 RSA 算法 。 
RSA 算法 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数 法 ， 因 此 它 为 公用 网 络 上 
信息 的 加 密 和 鉴别 提供 了 一 种 基本 的 方法 。 е -对 RSA ЖӘЙ, 其 中 一 个 是 保 
密 密 钥 ， 由 用 户 保存 ， 另 一 个 为 公开 密 钥 ， A 甚至 可 在 网 络 服务 器 中 注册 ， 人 
们 用 公 钥 加 密 文件 发 送 给 个 人 ， A 接收 。 为 提高 保密 强度 ，RSA 密 钥 
长 度 至 少 为 500 位 ， 一 般 推荐 使 用 1024 
该 算法 基于 下 面 的 两 个 事实 ,六 
(1) 已 有 确定 - 2. i 
(2) Бабтың ЖР 














































































































ШІ; RSA 算法 的 安全 有 效 性 。 








a) 任意 进取 两 两 个; 大 质数 和 计算 Е 

(2) 任意 жарту е, е (рс 开 质 ， 整 数 e 用 作 加 密 密 钥 ， 注 意 ，e 的 选 
取 是 很 容易 Ne 了 所 有 大 于 p 和 g 

(3) 确定 ИЛ d: d xe=1 mod (p - 1)х(9-1): 根据 e、p 和 g 可 以 容易 地 计算 出 d. 

(4) 公开 整数 x 和 e， 但 是 不 公开 а. 

(5) 将 明文 P( 假 设 P 是 一 个 小 于 7 的 整数 ) 加 密 为 密 文 C， 计 算 方法 为 : С-Р modre 

(6) 将 密 文 C 解 密 为 明文 P， 计 算 方法 为 : 已 = С mod r, 

然而 只 根据 x 和 (不 是 p 和 gq) 要 计算 出 4 是 不 可 能 的 。 因 此 ,任何 人 都 可 对 明文 进行 
加 密 ， 但 只 有 授权 用 户 (知道 gd) 才 可 对 密 文 解密 。 


3.223 RSA 算法 实现 


为 了 说 明 该 算法 的 工作 过 程 ， 下 面 给 出 一 个 简单 例子 ， 显 然 在 这 只 能 取 很 小 的 数字 ， 
但 是 如 上 所 述 ， 为 了 保证 安全 ， 在 实际 应 用 中 所 用 的 数字 则 要 很 大 。 
例 : Шр-3,4-5» Шг-15, (р-1) х(4-1)-8. 选取 e=11( 大 于 p 和 g 的 质数 ), 通过 4d x 11 
= 1 mod 8， 计 算出 d=3。 
假定 明文 为 整数 13。 则 密 文 C 为: 
C=Pemodr 
=13!! mod 15 
= 1792160394037 mod 15 
=7 


























БЕ 


复原 明文 P 为 : 
Р-С”тойғ 

=7 той 15 

= 343 той 15 

=13 
因为 e 和 qd 互 逆 ， 加 密 和 解密 运算 的 算法 是 一 致 的 。 如 果 加 密 时 对 明文 信息 P 用 公 钥 
e 代入 RSA 算法 ， 则 解密 时 就 不 能 再 用 参数 e， 那 样 计算 结果 不 可 能 是 原始 明文 。 正 确 解 
密 运 算是 将 密 文 和 与 e 唯一 匹配 的 d 代入 相同 的 运算 过 程 ， 方 可 得 到 原始 明文 P. 





























33 数字 签名 技术 
目前 ， 为 了 保证 信息 传输 的 保密 性 、 数据 交换 wi 发 送信 息 的 不 可 否认 性 、 
易 者 身份 的 确定 性 ， 所 以 采用 数字 签名 、 签 名 
3.3.1 数字 签名 技术 的 概念 
在 日 常生 活 和 经 济 往来 中 ， * 4 







的 。 在 签订 经 济 合同 、 契 约 、 协 议 及 


银行 业务 等 很 多 场合 都 离 不 开 MENE, 4 织 针对 其 行为 的 认可 ， 并 具有 法 
律 效力 。 长 期 以 来 ， 手 体 签 ; -种 合法 的 全 泛 使 用 ， 这 主要 是 由 于 手 体 签 
字 可 满足 и 

(1) EFE 9, ШЕ Е 签字 时 ， 别 人 确信 这 个 文件 是 经 该 人 
发 出 的 。 





о) 签字 是 疾 法 伪造 的 ， БС 
(3) 签字 是 A 
(а) 文件 被 签字 后 是 无 法 自 改 的 。 
(5) 签字 具有 不 可 否认 性 ， 即 签字 者 无 法 否认 自己 签字 文件 上 的 签字 行为 。 
在 计算 机 网 络 应 用 中 ， 尤 其 是 电子 商务 中 ， 电 子 交易 的 不 可 否认 性 是 必要 的 。 它 一 方 
面 要 防止 发 送 方 否 认 曾 发 送 过 消息 ， 另 一 方面 还 要 防止 接收 方 否认 接收 过 消息 ， 以 避免 产 
生 经 济 纠纷 。 提 供 这 种 不 可 否认 性 的 安全 技术 就 是 数字 签名 。 
数字 签名 包括 消息 签名 和 签名 认证 两 个 部 分 。 一 个 数字 签名 系统 必须 满足 下 列 条 件 。 
(D 一 个 用 户 能 够 对 一 个 消息 进行 签名 。 
(2) 其 他 用 户 能 够 对 被 签名 的 消息 进行 认证 ， 以 证 实 该 消息 签名 的 真 伪 。 
(3) 任何 人 都 不 能 伪造 一 个 用 户 的 签名 。 
(4) 如 果 一 个 用 户 否 认 对 消息 的 签名 ， 则 可 以 通过 第 三 种 仲裁 来 解决 争议 和 纠纷 。 
RSA 公开 密 钥 加 密 方法 也 能 对 发 送信 息 进行 确认 ， 即 所 谓 的 “数字 签名 ”， 以 便 接 收 
方 能 确定 所 接收 的 信息 不 是 伪造 的 。 如 果 发 送信 息 的 一 方 用 私 钥 а 代入 RSA 算法 ， 则 解密 
时 就 不 能 再 用 参数 4， 因为 包括 接收 方 在 内 的 所 有 人 都 不 可 能 也 没有 必要 知道 q, 但 接收 方 
可 以 用 与 a 唯一 匹配 而 且 被 公布 于 众 的 密 钥 e ЖҚА RSA 进行 运算 ， 如 果 得 到 正确 结果 
则 证 明 消息 的 确 来 自 于 唯一 拥有 d 的 发 送 方 ， 这 样 就 可 以 确认 所 接收 消息 的 真实 性 。 
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以 下 给 出 一 种 基于 RSA 公 钥 密码 体制 实现 信息 加 密 并 且 具 有 数字 签名 的 安全 通信 和 解 
决 方案 。 为 了 要 同时 实现 保密 性 和 确证 性 ， 可 以 采用 双重 加 、 解 密 ， 这 里 设 定 使 用 私 钥 的 
运算 为 D, 使 用 公 钥 的 运算 为 E, 对 于 RSA 算法 来 说 DD 和 E 算 法 是 一 致 的 。 发送 方 先 用 自 
己 的 私 钥 执 行 RSA 运算 ， 目 的 是 进行 数字 签名 ， 再 用 接收 方 的 公 钥 执行 RSA 运算 ， 目 的 


































































































是 加 密 信息 ， 接 收 方 先 用 自己 的 私 钥 解密 ， 再 用 发 送 方 的 公 钥 验 证 签名 ， 如 图 3.4 所 示 。 
保密 公开 保密 公开 
пл ок DSK PB 
保密 
认证 


图 3.4 usu 
3.3.2 DSA 数字 签名 算法 < 
次 技 术 


DSA(Digital Signature тар 协会 (NIST) 在 其 制定 的 数字 签名 
标准 (DSS) 中 提出 的 一 个 数字 签名 算法 。D 公 钥 体系 ， 用 于 接收 者 验证 数据 的 完整 
性 和 数据 发 送 者 的 身份 ， 也 可 用 于 策 也 考 竖 证 签名 和 所 签名 数据 的 真实 性 。 

不 同 于 RSA DSA 不 具有 数据 加 密 和 密 钥 分 配 
能 力 。 


在 DSS 标准 中 规定 ， 算法 应 当 无 专 问题 ， 以 便 推动 该 技术 的 广泛 应 























用 ， 给 用 户 带 来 经 济 利 - DSA 无 专 ， 而 RSA 受 专 利 权 保 护 ， 因 此 ，DSS 
选择 了 DSA 而 没有 来 纳 RSA， 结 果 在 美 网 引起 很 大 争论 。 一 些 购买 RSA 专利 许可 权 的 大 
公司 从 自身 利益 出 般 强 烈 反 对 DSA, % 的 推广 应 用 带 来 一 定 的 影响 。 


DSA 是 2% 于 公开 密 钥 体系 的 数学 签名 算法 , 它 不 能 用 作 加 密 , 只 能 用 作 数 字 签 名 。 
DSA 使 用 公开 密 钥 ， 为 接收 者 验证 数据 的 完整 性 和 数据 发 送 者 的 身份 。 它 也 可 用 于 由 第 三 
方 确定 签名 和 所 签 数据 的 真实 性 。DSA 算法 的 安全 性 基于 解 离散 对 数 的 困难 性 ， 这 类 签字 
标准 具有 较 大 的 兼容 性 和 适用 性 ， 成 为 网 络 安全 体系 的 基本 构件 之 一 。 

在 DSA 签名 算法 中 ， 用 到 了 以 下 参数 。 

(1) 疡 是 工 位 长 的 素数 ， 其 中 工 为 512 一 1024， 且 是 64 的 倍数 。 

(2) q 是 160 位 长 且 与 p-1 互 素 的 因子 。 

(3) g=h? 0 modp ， 其 中 天 是 小 于 六 1 并且 满 足 j Wmodp 大 于 1 的 任意 数 。 

(4) x 是 小 于 gq 的 数 。 

(5) y=g' mod p+ 

在 上 述 参 数 中 ，p、g 和 8 是 公开 的 ， 可 以 在 网 络 中 被 所 有 用 户 公用 ， 私 人 密 钥 是 x 
F 密 钥 是 yo 

对 消息 m 签名 时 的 具体 步骤 如 下 。 

(1) 发 送 者 产生 一 个 小 于 9 的 随机 数 k. 

(2) 发 送 者 产生 : 










































































> 
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r =(g* mod p)mod q 
s =(k !(H(my:-xr))mod q 





Fe 


r 和 s 就 是 发 送 者 的 签名 ， 发 送 者 将 它们 发 送 给 接收 者 。 
(3) 接收 者 通过 计算 来 验证 签名 。 
w=s 'mod q 
i=(H(m) w)mod 4 
j=(rw)mod q 
у-((еху/)той p)mod q 
如 果 v=r， 则 签名 有 效 。 
在 DSS 中 , 还 推荐 了 一 种 产生 素数 p A q 的 方法 , 它 使 人 们 相信 尽管 p 和 g 是 公开 的 ， 
但 其 产生 方法 具有 可 信 的 随机 性 ， 因 此 DSA 是 很 安全 的 。 


3.3.3 数字 签名 的 其 他 问题 


目前 ， 日 益 激增 的 电子 商务 和 其 他 因特网 应 用 需 吕 
主要 包括 对 服务 器 资源 的 访问 控制 和 对 电子 商务 3 护 ， 以 及 权利 保护 、 个 人 隐私 、 
无 线 交 易 和 内 容 完整 性 (如 保证 新 闻 报道 或 股 真实 性 ) 等 方面 。 公 钥 技 术 发 展 到 今 
天 ， 在 市 场 上 明显 的 发 展 趋势 就 是 РКІ (Rudie Кеу Infrastructure， 公 钥 基 础 设施 ) 与 操作 系 


RSA 算法 研制 的 最 初 理 念 与 目标 是 努力 使 互联 网 
用 公开 信道 传 的 难题 。 而 实际 结果 不 但 很 好 地 


名 ， 以 防止 电文 的 否认 与 抵赖 ， 同时 









































体系 得 以 普及 ， 这 些 需 求 量 















公 钥 加 密 算法 中 使 用 最 广 的 是 
安全 可 靠 ， 旨 在 解决 DES 80% 
解决 了 这 个 难题 ,还 可 利 且 
ET ARRP RA 的 非法 算 改 ， 以 保护 数据 信息 的 完整 性 。 
目前 为 止 , 很 多 种 划 密 技术 采用 了 A 多 算法 也 已 经 在 互联 网 的 许多 方面 得 以 广泛 
М, L1J2(SSL)ERWE (iZ PAETE PI “еі 82 sr 222910 Tr D 8383319 05 ІЛІ 
到 的 ) 方 面 的 应 内。 此 外 ，RSA 加 密 系统 还 可 应 用 于 智能 IC 卡 和 网 络 安全 产品 。 

但 目前 RSA 算法 的 专利 期 限 即将 结束 ， 取 而 代 之 的 是 基于 椭圆 曲线 的 密码 方案 (ECC 
算法 )。 与 RSA 算法 相 比 ，ECC 有 其 相对 优点 ， 这 使 得 ЕСС 的 特性 更 适合 当今 电子 商务 需 
要 快速 反应 的 发 展 潮流 。 此 外 ， 一 种 全 新 的 量子 密码 也 正在 发 展 中 。 

至 于 在 实际 应 用 中 应 该 采用 何 种 加 密 算法 则 要 结合 具体 应 用 环境 和 系统 ， 不 能 简单 
根据 其 加 密 强度 来 作出 判断 。 因 为 除了 加 密 算 法 本 身 之 外 ， 密 钥 合理 分 配 、 加 密 效率 与 
有 系统 的 结合 性 以 及 投入 产 出 分 析 都 应 在 实际 环境 中 具体 考虑 。 加 密 技术 随 着 网 络 的 发 
更 新 ， 将 有 更 安全 、 更 易于 实现 的 算法 不 断 产 生 ， 为 信息 安全 提供 更 有 力 的 保障 。 
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34 密 钥 管理 


密码 系统 的 两 个 基本 要 素 是 加 密 算 法 和 密 钥 管理 。 加 密 算 法 是 一 些 公式 和 法 则 ， 它 规 
定 了 明文 和 密 文 之 间 的 变换 方法 。 由 于 密码 系统 的 反复 使 用 ， 仅 靠 加 密 算 法 已 难以 保证 信 
息 的 安全 了 。 事 实 上 ， 加 密 信 息 的 安全 可 靠 依赖 于 密 钥 系统 ， 密 钥 是 控制 加 密 算法 和 解密 
算法 的 关键 信息 ， 它 的 产生 、 传 输 、 存 储 等 工作 十 分 重要 。 
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两 个 用 户 在 用 单 钥 加 密 ( 私 钥 ) 体 制 进行 保密 通信 时 ， 必 须 有 一 个 共享 的 秘密 密 钥 。 为 
防止 攻击 者 得 到 密 钥 ， 还 必须 时 常 更 新 密 钥 。 因 此 ， 密 码 系统 的 强度 也 依赖 于 密 钥 分 配 技 
术 。 用 户 A 和 了 B 获得 共享 密 钥 的 方法 基本 上 有 以 下 几 种 。 

(1) 密 钥 由 A 选 取 并 通过 物理 手段 发 送 给 B。 

(2) 密 钥 由 第 三 方 选取 并 通过 物理 手段 发 送 给 A 和 了 B。 

(3) МЖА. В 事先 已 有 一 密 钥 ， 则 其 中 一 方 选取 新 密 钥 后 ， 用 已 有 的 密 钥 加 密 新 密 铀 
并 发 送 给 另 一 方 。 

(4) WR A 和 B 与 第 三 方 C 分 别 有 一 保 密 信道 ， 则 C 为 A、B 选取 密 钥 后 ， 分 别 通过 
两 个 保密 信道 上 发 送 给 A、B。 
前 两 种 方法 称 为 人 工 发 送 ， wA rx amine 时 还 是 可 行 的 ， 因 只 有 































































































该 链 路 上 的 两 端 交 换 数 据 。 密 钥 的 人 工 发 送 在 网 络 的 问 到 第 加 密 方式 中 将 不 再 可 行 ， 因 为 

若是 在 网 络 层 加密 ， 则 网 络 中 任 一 对 主机 都 必 和 

数目 为 NV-1)/2 个 。 当 NN 很 大 时 ， 密 钥 分 配 的 代价 将 
第 三 种 方法 对 链 路 加 密 和 端 到 端 力 
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5 钥 分 配给 一 对 月 党 钥 称 为 会 话 密 钥 ， 用 于 这 一 对 用 户 
ЕЙ зании, 。 若 用 户 数 为 N 个 ， 则 会 话 密 钥 为 
NOV-1)/2 个 。 但 主 


却 只 需 v+ ы 生物 理 手段 发 送 主 密 钥 。 
J 
3.4.2 公 钥 


公 钥 加 密 的 一 个 主要 用 途 是 分 配 单 钥 加 密 体制 使 用 的 密 钥 。 公 钥 加 密 体制 大 致 有 以 下 
几 种 公开 密 钥 的 分 配方 式 。 

І. 公开 发 布 
户 将 自己 的 公 钥 发 给 每 一 个 其 他 用 户 或 向 某 一 团体 广播 。 这 种 方法 虽然 简单 但 是 任 
何人 都 可 以 伪造 这 种 方法 公开 发 布 。 假 冒 者 可 解读 发 向 被 伪造 方 的 加 密 消 息 ， 还 可 用 伪造 
的 密 钥 获 得 认证 。 

2. 公用 目录 表 

公用 目录 表 是 指 建立 一 个 公用 的 公 钥 动态 目录 表 ， 由 某 个 可 信 的 实体 或 组 织 承担 目录 
表 的 建立 、 维 护 以 及 公 钥 的 分 布 。 这 种 方法 比 前 一 种 安全 性 更 高 ， 但 仍然 容易 受到 攻击 。 

3. 公 负 管理 机 构 

公 钥 管理 机 构 是 在 公 钥 目录 表 中 对 公 钥 的 分 配 施 加 更 严密 的 控制 ， 使 其 安全 性 更 强 。 
公 钥 管理 机 构 在 为 各 用 户 建立 、 维 护 动态 的 公 钥 目录 的 同时 ， 还 提供 给 每 个 用 户 管理 机 构 
的 公 钥 ， 但 是 只 有 管理 机 构 自 己 知道 相应 的 密 钥 。 公 钥 的 分 配 如 图 3.5 所 示 。 
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公 包 管理 机 构 
(1) RequestlTime' 


(2) ESKAu[PKalIRequestllTimel] 








(3) EPK,[ID,IIN,] 


(6) ЕРК. [№] 


(7) EPKs[N;] 


图 3.5 中 所 示 各 消息 含义 如 下 。 
(1) НІЛ A 向 公 钥 管理 机 构 发 送 一 带 有 时 
(2) 管理 机 构 用 自己 的 密 钥 SKau MER 
解密 ， 并 使 A 相信 这 个 消息 的 确 是 来 源 
© A TH B 的 公 钥 PKg IPK ER 










的 消息 加 密 。 








(5) kann 自己 的 密 钥 SKAu 加 密 对 B 的 请 求 作 出 
地 得 到 了 对 方 的 公 钥 ， 但 仍 需 要 有 进一步 的 相互 认证 。 
(6) B 用 PKA 对 一 个 消息 加 密 后 发 送 给 A, 其 消息 有 A 





(5) ESKAu[PKAIIRequestlTimey 


3.5 ыы à 


(4) Request||Time, 








消息 , 其 请 求 获取 用 户 B 当前 的 公 钥 。 
НЕМЕ. A 可 以 用 管理 机 构 的 公 钥 
理 机 构 。 其 应 答 


的 消息 有 以 下 作用 。 


@ A 验证 自己 最 初 发 出 的 请 7. 
@ 时 间 me 为 发 来 Шідер 22 AH 
(3) A 用 B 的 公 sawa 发 送 给 中 一 项 是 A 的 身份 IDA， 另 一 项 是 


-个 一 次 性 随机 егі БАР 2/4 
(4) чач: е Тін ТІГІ 请 求 获取 用 户 A 当前 的 公 钥 。 


应 答 。 此 时 , A 和 B 都 已 安全 


一 次 性 随机 数 NM 和 B 产生 的 





-个 新 的 一 次 性 随机 数 N,。 因 为 只 有 B 能 解密 (3) 中 的 消息 ， 所 以 A 收 到 的 消息 中 的 N. 











可 使 其 相信 通信 的 另 一 方 的 确 是 B. 








(7) A 和 B 的 公 钥 对 № 加密 后 返回 给 B， 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 











以 上 7 个 消息 中 的 前 4 个 消息 用 于 获取 对 方 的 公 钥 。| 




















户 得 到 对 方 的 公 钥 后 保存 ， 使 


之 以 后 使 用 时 只 发 送 (6)、(7) 确 认 消 息 即 可 。 但 用 户 还 必须 定期 地 通过 密 钥 管理 机 构 中 心 获 
取 对 方 的 公 钥 ， 以 免 对 方 的 公 钥 更 新 后 无 法 保证 当前 的 通信 。 








4， 公 和 铀 证 书 








公 钥 分 配 的 另 一 种 方法 是 公 钥 证 书 ， 用 户 通过 公 钥 证 书 相互 之 间 交 换 自己 的 公 钥 而 无 需 
与 公 钥 管 理 机 构 联 系 。 公 钥 证 书 由 证 书 管理 机 构 (Certificate Authority，CA) 为 用 户 建立 ， 其 证 
































书 的 数据 项 有 用 户 的 公 钥 、 身 份 和 时 间 戳 等 ， 这 些 数据 项 经 CA 用 自己 的 密 钥 签 字 后 就 和 


了 证 书 ， 其 形式 为 CA = ESKsITIIID、||PK,\]， 其 中 IDA 为 
АҢ, T 是 当前 时 间 戳 ，SKcA 是 CA 的 密 钥 ，CA 即 为 用 户 А) 
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目 户 A 的 身份 ，PKA 是 A 的 公 
“ 生 的 证 书 ， 如 图 3.6 所 示 。 
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36 证书 的 产生 过 程 








户 可 将 自己 的 公 钥 通 过 公 钥 证 书 发 给 另 一 用 户 , 接收 方 可 用 CA 的 公 钥 PKcA 对 证 书 
加 以 验证 ， 因 为 只 有 用 CA 的 公 钥 才能 解读 证 书 ， 同 时 获 各 六 的 IDA 和 公 钥 PKA。 时 
间 瀹 用 于 鉴定 收 到 的 证 书 是 否 是 当前 或 有 效 的 。 < 


34.3 ”用 公 钥 加 密 分 配 私 钥 密码 体制 的 密 钥 
于 公 钥 加 密 过 程 复杂 又 速度 慢 ， құйы 进行 保密 通信 ， 但 却 适 合 于 分 配 单 钥 


密码 体制 的 密 钥 。 
1. 简单 分 配 Ra 










































简单 地 使 用 公 钥 加 密 算 5» a A 和 用 户 的 过 程 可 有 以 下 几 个 步骤 。 
(1) ЖРА 全 жне, F 向 в 发 送 2! IDA。 
(2) B 产生 会 J Ks 加 密 后 发 给 








只 有 人 A 能 解读 ча 所 以 仅 A 和 B 知道 








Же 并 用 А 的 公 
O AU ік, СЕ 


с?) 
(4) А РКА, ЅКА}, В 销毁 РКА. 
此 时 用 户 A、B 用 私 钥 加 密 算法 以 Ks 作为 会 话 密 钥 进 行 保密 通信 。 通 信 完 成 后 ， 又 都 


将 Ks 销 毁 。 这 种 分 配方 法 尽管 简单 却 易 受 到 主动 攻击 。 攻击 方 E 可 通过 以 下 方式 截获 用 户 
A 和 B 的 通信 。 

(1) 用 户 A 产生 自己 的 一 对 密 钥 {PKA，SKa}， 并 向 B 发 送 PKA|| IDA。 

(2) E 截获 A 发 给 B 的 消息 后 ， 建 立 自己 的 一 对 密 钥 {PKE，SKE}， 并 将 PKsllIDs 发 送 
给 B。 

(3) B 产生 会 话 密 钥 Ks 后 将 EPKe[Ks] 发 送出 去 。 

(4) E 截获 B 发 送 的 消息 后 ， 由 DSKE[EPKe[Ks]] 解 读 Кө. 

(5) E FPK EPK, [Ks] 发 给 A。 

此 时 ，A 和 B 将 用 Ks 进行 通信 ， 但 并 不 知 E 的 存在 ，E 可 以 对 A 和 B 实施 监听 。 

2. 具有 保密 性 和 认证 性 的 密 钥 分 配 


EHF A 和 B 双方 已 完成 公 钥 交换 ， 可 按 以 下 步骤 建立 会 话 密 钥 ， 如 图 3.7 所 示 。 
(1) A HB 的 公 钥 加 密 A 的 身份 IDA 和 一 个 一 次 性 随机 数 Ni 后 发 给 B， 其 中 Ni 用 于 
唯一 地 标识 此 次 业务 。 
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(2) B 用 A 的 公 钥 PKA 加 密 A 的 一 次 性 随机 数 N. AB 新 产生 的 一 次 性 随机 数 No 后 发 

给 A。 因 为 只 有 B 能 解读 A 发 给 B 的 消息 , 而 В 所 发 的 消息 中 M 的 存在 可 使 A 相信 对 方 

的 确 是 B。 
(3) A H B 的 公 钥 PKs 对 ;加密 后 返回 给 B， 以 使 B 相信 对 方 的 确 是 A。 

(4) A 选 一 个 会 话 密 钥 Ks， 然 后 将 其 M = EPKs[ESK,[Ks]] 发 给 B， 其 中 用 B А9 

加 密 是 为 了 保证 只 有 B 能 解读 加 密 结果 ,用 A 的 密 钥 加 密 是 保证 该 加 密 结果 只 有 А 能 发 送 。 

(5) B 以 DPK,[DSKs[M]] 恢 复 会 话 密 钥 。 

这 种 密 钥 分 配 过 程 具有 保密 性 和 认证 性 ， 既 可 防止 被 动 攻击 ， 也 可 防止 主动 攻击 。 

(1) EPK,[N;J|ID,| 













































































(2) ЕРК] 
(3) EPKs[N;] ` 


(4) EPKa[ES K- 
图 3.7 RARI um 
С. 应 用 案例 1 RN к 
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1XI 轿 喘 志 SSH 

(рты (би ЕТР” РОР fe ІХ нге i РИХИ те yn ER 
БОЛСА Шай Hh JJ IX H 83449 hn t rrsan] y ri талан NE ehh ABIX KAEN ТӨРЕ 
i 468 МАЕ ІХ pawa Wk pu (ri 929116 (man-in-the-middle)ò KARIERO AO 
ШАР СЕЗЕ ТЕРА Ы ER S E (k TAE E Ba AIKOR Е НИЕ. 
(Кз ФОН че аа ВТА RAO REIL T E Ae KEEA 32 08 hy EO 

ЫНЫ ӘНІН И тг Ер i 15] Д а iy REN IXA ЭЙ SSH(Secure Shell) ЯН ЕҢ, 49 SSHIXík F 
НАН ИН DERA EIA НІН IX KA RAE KA BERE е G S т IX A u E SF DNS % ІР 
W EO RAE E R DEREGI E t ГТ iH Pe jf IK ER EER E FHE DEFE OSSH WERE WASI IX 
ЗАЛАА К Secure Shell HEJ TELNET ФЕНИ ТХ ИЕ TAEL HRO i # LIS 
FHAIR ЕИ ЕЈ Secure Shell H f&I 36 0718] Н IX: РОР” X` РРР % FTPOHLI TF RE 
E Ra MARTE Jr 38 GEJE ІХ ET CVS баттаа JE TCP HEROM E IKR HEIL A TCP Ú 90) Secure 
Shell HERR SPE i 28 Cih 9 22 [XSecure Shell % Ht Hy AE R a НЕ ЧТ 85 ІНЕ Oracle BEN ft 
uo lX 88k ppp ke (8%, Secure ID (88 i t Emi ЗЕ O 

SSH СЕНЕН МН BE PERRA INE Б AREG ` (E UO 1x $ 2.x $L SSH 2.x ӨНЕР 
Í Hu Pet 459166 SSH 1.x ӨНЕГЕ Bš fff CiOpenSSH 2.x HAES SSH 1.x f SSH 2.x 

2XISSH РС 

SSH EW RTE ZEME ale f RREO 

НИ SC (demon) IXE AE АЕ HEI FEAR ЛИН ПЕНЕН R SES O fs А88 АЗА 志 sshd $I 
KRUR T RRC ТОЧЕВ ТХ A Ú ERA RE A RAA RE 3710) 
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认证 (Authentication) 是 证 实 某 人 或 某 个 对 象 是 否 有 效 


识别 (Identification) 不 


程 用 户 (或 过 程 实体 ) 是 合法 授权 用 户 还 是 恶意 的 

wn 
Status, танине) 程 中 ， 用 

是 在 操作 过 程 中 机 器 和 机 器 之 间 的 认证 

在 登录 过 程 中 ， 应 当 验 证 用 局 冲 科 么 ”其 次 应 当 验 证 “他 拥有 什么 ”， 如 智能 卡 、 





通行 证 等 ， 最 后 ， 应 
机 器 和 机 器 之 间 


3.5.1 身份 认证 - 
тінін 身 便条 纶 时 对 网 络 中 通信 双方 的 主体 进行 验证 的 过 程 。 


身份 认 记 Nt 
户 必 须 提供 他 是 谁 
， 或 者 用 户 的 声音 
通常 有 以 下 3 种 

















(1) 拥有 该 主体 久 
的 物品 ， 如 智能 卡 、 令 牌 卡 。 
的 唯一 特征 ， 


(2) 主体 携带 
(3) 主体 具有 











n 





35 Ù 证 













其 实 的 过 程 。 它 与 身份 
职 密 的 计算 机 网 络 中 ， 验 证 远 
就 届 于 认证 问题 。 认 证 是 对 通信 对 
判别 通信 对 象 是 哪 种 身份。 
户 和 机 器 之 间 的 认证 ， 





同 ， 也 与 授权 (Authorization) 不 


ІН 


л 





-种 








当 验 证 他 ] 生物 特征 ， 声音 等 。 


5% нандар 公开 的 协议 ) 方 法 。 


x 





的 证 明 。 例 如 ， 系 统 中 存储 用 户 的 指纹 ， 或 者 用 户 的 视网膜 血管 分 布 


波纹 图 等 。 当 用 户 登 录 系统 时 ， 系 统 将 对 其 辨认 ， 比 较 、 验 证 该 用 户 


方法 验证 主体 身份 。 








道 的 秘密 ， 如 密码 、 密 钥 。 


如 指纹 、 声 音 、 视 网 膜 或 签名 等 。 











密码 有 
但 密码 是 无 形 
除非 使 用 
系统 要 

















， 可 
密码 
的 密 























户 








解密 器 (donglc)， 或 令 牌 (Token)。 认 证 器 通常 包含 一 个 内 部 时 钟 、 
显示 屏 显示 现在 的 时 间 和 密 钥 的 某 种 函数 。 
其 秘密 密 钥 的 副本 及 其 时 钟 计算 出 的 所 希望 的 





一 个 显示 屏 ， 
主机 通过 使 用 
如 果 用 户 的 









































H| 





答 与 输出 值 匹配 ， 则 登录 被 接收 。 考 虑 到 双方 的 





户 选择 ， 有 时 由 系统 分 配 。 密 码 的 优点 是 简单 可 行 ， 无 需 特殊 硬件 设备 。 


能 告知 别人 或 被 别人 猜测 、 窃 听 ， 因 此 密码 不 是 强 有 力 的 认证 手段 。 
， 才 能 增强 安全 性 。 一 次 性 密码 的 配置 可 以 因 时 因 地 因 不 同 信息 而 异 。 
码 约 每 分 钟 变化 一 次 ， 绝 不 会 重复 。 合 法 用 户 要 使 用 手持 式 认 证 器 或 
某 种 类 别 的 一 个 密 钥 以 及 












































输出 值 , 对 用 户 进行 证 实 。 
寺 间 偏差 ， 通 常会 有 几 个 候 
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О, JH 


户 密码 及 输出 密码 与 该 组 密码 匹配 ， 也 能 通过 验证 。 
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另 一 种 一 次 性 密码 系统 使 用 来 自主 机 而 不 是 时 钟 的 非 重 复 性 质询 。 用 户 拥有 的 是 一 台 
利用 秘密 密 钥 编程 的 设备 。 主 机 的 质询 输入 该 设备 ， 然 后 由 秘密 密 钥 计算 出 该 次 的 密码 。 
由 于 不 存在 时 钟 偏差 ， 唯 一 要 求 的 是 用 户 要 每 次 输入 主机 的 质询 。 

在 这 两 种 方式 中 ， 如 果 手 持 式 认 证 器 或 用 户 的 编程 设备 被 窃取 ， 将 给 网 络 安全 带 来 隐 
患 。 因 此 ， 每 个 设备 使 用 前 ， 还 要 输入 用 户 的 PIN(Personal Identification Number), 
智能 卡 (Smart Card) 具 有 自己 的 CPU、 输 入 /输出 端口 和 只 能 通过 卡 上 CPU 进行 访问 的 
小 容量 、 非 易 失 性 存储 器 ， 它 可 集成 到 用 户 终 端 上 ， 便 于 携带 ， 方 便 验证 。 

生物 技术 ， 如 采取 指纹 、 声 音 或 签字 的 认证 方法 ， 除 了 需要 特殊 的 阅读 器 外 ， 有 些 生 
物 特征 具有 模糊 性 ， 同 一 个 人 不 同时 刻 的 签字 会 受 多 种 因素 干扰 ， 绝 对 不 可 能 相同 。 


3.5.2 主机 之 间 的 认证 


如 果 要 认证 的 对 象 是 主机 或 站 点 。 例 如 ， 银 行 КТ 需要 确 
认 的 是 对 方 主机 的 身份 。 (БЕЙ 点 ) 之 间 进 行 ， 这 样 的 过 程 被 称 




































































为 站 点 认证 或 主机 认证 。 
认证 可 以 有 多 种 形式 如 果 双方 通 i 见面 的 方式 事先 确定 了 一 个 共享 秘密 
密 钥 Кав. WA, RN 器 答 协 议 。 一 方 发 送 一 个 随机 数 给 另 一 方 ， 即 查 
问 ， 后 者 将 它 用 秘密 密 钥 加 密 后 ， 通 过 检查 应 答 来 确定 对 方 是 否 拥有 该 秘密 密 钥 。 
在 所 s t ағала # 别 是 在 因特网 通信 当中 。 因此， 

г) KDC) 可 以 在 通信 双方 之 间 : 


在 通信 开始 前 ， "Е БГОМ Distribution 
个 中 间 人 коса 5. 例如 和 A ABY A А5 КОС 共享 一 个 密 钥 。 这 就 说 
ШАЯ Koc 2 信任 的 。 通 过 共享 的 密 铀 ， 可 以 确认 对 方 
Ef B 
客 




















是 谁 。 因 此 ， ка 3 pe 条 的 通信 。 在 协议 执行 中 ， 除 了 要 为 A JER 
方 建立 一 个 秘 沉 浅 话 密 钥 (Session Key) 外 ， 还 要 使 A 方 和 B 方 相互 信任 ， 同 时 要 防止 黑 
可 能 的 攻击 。 
黑客 的 攻击 手段 一 般 采 用 重 发 攻击 。 例 如 ，A 方 要 通过 银行 (B 方 ) 发 送 一 笔 钱 给 С Jr. 
A 方 选择 一 个 会 话 密 钥 Ks， 传 送 消息 A=KA(B, Ks) 给 КОС, КОС 收 到 这 个 消息 后 ， 知 道 
是 A 方 传 送 的 ， 就 用 KA 将 Ka(B，Ks) 解 密 ， 得 到 (B，Ks)。 现 在 КОС 知道 A 方 要 和 B 方 
通信 ， 就 用 Ks 把 (A，Ks) 加 密 后 发 给 B. B 用 Ke 解密 后 ， 知 道 是 A 方 的 连接 请 求 ， 并 且 
得 到 密 钥 Ks。 这 样 ，A 方 和 B 方 就 可 以 通过 Ks 直接 会 话 了 。 
假定 A 方 要 B 方 发 送 支付 报 文 ， 也 就 是 说 A 方 想 让 B 方 支付 一 笔 钱 给 C 77. B 方 将 
照 此 办 理 ， 支 付 了 一 笔 钱 。 但是， 过 了 一 会 儿 ， 有 人 顶替 A 方 将 支付 报 文 又 重 发 给 BH, 
在 B 看 来 , 它 是 正常 的 报 文 ,于 是 又 从 B 方 的 账户 中 支付 一 笔 钱 给 С Jy. 这样， 同一 笔 钱 
支付 两 次 或 更 多 次 ， 认 证 协议 失败 。 
解决 的 办 法 是 在 每 一 条 消息 上 加 上 时 间 戳 ， 如 果 发 现 信息 中 包含 的 时 间 戳 是 重复 的 ， 
则 将 它 丢 弃 。 因 此 ， 当 A 方 或 别人 重 发 这 条 消息 时 ，B 方 (银行 ) 查 看 消息 中 的 时 间 戳 后 ， 
就 知道 该 消息 是 过 时 的 ， 不 是 有 效 的 ; 这 种 方法 的 难度 在 于 要 求 网 络 系统 中 所 有 主机 
的 时 间 保 持 一 致 ， 在 时 间 误 差 范围 内 ， 重 发 的 消息 不 容易 被 识别 。 
第 二 种 方法 是 在 每 条 消息 中 赋予 一 个 一 次 性 的 唯一 的 序列 号 ， 随 消息 发 送 。 如 果 收 到 
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的 消息 序列 号 重复 ， 则 丢弃 。 为 此 ， 主 机 应 记 住所 有 收 到 的 序列 号 ， 且 序列 号 应 足够 大 ， 

保证 在 正常 使 用 的 情况 下 ， 不 至 于 重复 。 
基于 密 钥 分 发 中 心 的 认证 方法 还 有 多 种 。 例 如 ， 使 用 多 次 查询 -应 答 方式 的 

Needham-Schroeder 协议 及 Otway_Rees 协议 ， 这 些 协 议 都 是 一 些 更 加 成 熟 的 协议 。 



































3.5.3 Kerberos 认证 


Kerberos 是 为 TCP/IP 网 络 系统 设计 的 可 信 的 第 三 方 认证 协议 。 网 络 上 的 Kerberos 服务 
基于 DES 对 称 加 密 算 法 ， 但 也 可 用 其 他 算法 替代 。 因 此 ，Kerberos 是 一 个 在 许多 系统 中 获 
得 广泛 应 用 的 认证 协议 ，Windows 2000 就 支持 该 协议 。 

Kerberos 最 初 是 美国 麻 省 理工 学 院 为 Athena 项 目 开 发 的 其 中 第 1 一 3 版 为 内 部 开发 
版 ， 第 4 版 提供 扩散 密码 分 组 链接 (DCBC，Diffusion Сір Жы Chaining) 模 式 。 该 模式 
存在 一 个 问题 ， 交 换 两 个 密 文 分 组 ， 将 使 两 个 对 应 的 明 交 不 能 被 正确 解密 ， 但 根据 明 
文 和 密 文 异 或 的 性 质 ， 错 误 将 被 抵消 。 所 以 ， 如 果 сен 性 检查 只 检查 最 后 几 个 解密 的 明文 
分 组 ， 它 可 能 欺骗 接收 者 ， 让 接收 者 接收 部 倪 错 链 的 消息 。 因 此 ，Kerberos 第 5 版 使 用 密 
人 码 分 组 链接 模式 (Cipher Block Chaining, ЄВ! 。 下 面 讨论 Kerberos 第 5 版 。 

1. Kerberos 工作 原理 


当 客户 从 Kerberos Ў ЛАК ЕНТО, АХ а Service) 后 ， 该 票据 被 
用 户 的 秘密 密 钥 加 密 后 发 送 № 2 Ж TAER ， 客 户 需 要 从 TGS 中 请 求 一 张 
票据 。 假 定 所 有 事情 均 入 序 进行 ， 4 票据 显示 给 服务 器 和 
认证 器 ， 2 有 问题 ， oo Kerberos 的 认证 步骤 如 图 3.8 所 
示 ， 有 具体 步 3 Ча 

(1) 请 求 许 

(2) 返回 许可 村 

(3) 请 求 服务 器 票据 。 

(4) 返回 服务 器 票 

(5) 请 求 服务 。 





















































图 3.8 Kerberos 鉴别 协议 工作 原理 
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2. Kerberos 的 凭证 


Kerberos 使 用 两 类 凭证 : 票据 (Tickeb 和 认证 码 (Authenticator)。 
Kerberos 票据 的 格式 为 : 




















То, {с,а,у,Ко 5} Ks 

AP: Tes 表示 使 用 服务 器 的 客户 机 票据 ; s 表示 服务 器 ; c 表示 客户 机 ; a 表示 客户 机 的 网 
络 地 址 ; v 表示 票据 的 有 效 起 止 时 间 ; kc 表示 客 户 机 与 服务 器 的 会 话 密 钥 ;Ks 表示 服务 器 
的 秘密 密 钥 ，{m}Ks 表示 以 Ks; 加密 的 信息 m. 

对 单个 服务 器 和 客户 而 言 ， 票据 有 较 大 的 用 处 。 它 包括 用 户 名 、 服 务 器 名 、 网 络 地 址 、 
时 间 标 记 和 会 话 密 钥 等 。 这 些 信息 用 服务 器 的 秘密 密 钥 加 密 ， 客 户 一 旦 获得 该 票据 ， 可 多 
次 使 用 它 访 问 服务 器 ， 直 到 票据 过 期 。 ee de 有 & 务 器 的 
秘密 密 钥 ， 但 客户 可 以 以 其 加 密 的 形式 呈 递 服务 器 。 票 式 传送 ， 使 网 上 窃听 者 


无 法 阅读 或 修改 。 
Kerberos 认证 码 的 格式 为 : x 
Ac tc; 


式 中 ， As。 表 示 从 客户 机 到 服务 器 s 522 c 为 客户 机 ，t 为 时 间 标记 ;Key 为 可 选 的 
附加 会 话 密 钥 ，{c,bKey}Kes 表示 利 十 稻 竹 器 和 客户 机 共享 的 会 话 密 钥 Ke 对 c、t、Key 加 


密 。 与 票据 不 一 样 ， ee 果 用 户 需要 ,* 林 再 产生 一 个 认证 码 。 
这 样 ， 认 证 码 可 以 达到 6 首先 ， 它 表 


的 发 送 者 也 知道 密 钥 ， 这 是 身 
份 认证 的 目的 ， 其 次 ， 文 包括 了 时 间 村 


可 以 防止 窃听 者 重 发 攻击 。 
3. Kerberos 息 
co 的 5 个 消息 ， ак. 
(1) 第 一 个 消息 ， 客 户 到 Kerberos: cjtgs。 
客户 注册 程序 发 送 客户 名 及 其 TGS 服务 器 名 的 请 求 给 Kerberos 服务 器 。 服 务 器 在 数据 
库 中 查找 客户 ， 如 有 该 客户 ， 则 Kerberos 产生 一 个 会 话 密 钥 ， 在 客户 和 TGS 之 间 使 用 ， 这 
叫 票据 许可 票据 (TGT)。 

(2) 第 二 个 消息 ，Kerberos 到 客户 : {Keres }Ko,{ То }Kigso 

Kerberos 利用 客户 的 秘密 密 钥 加 密会 话 密 钥 。 然 后 为 客户 产生 一 个 TGT 向 TGS 证 实 
自己 的 身份 ， 并 用 TGS 的 秘密 密 钥 对 其 加 密 : (Tes) Kis o Kerberos 将 这 两 个 消息 发 送 给 
客户 。 

(3) 第 三 个 消息 ， 客 户 到 TGS: 4А.. Қы {То} Каз o 

客户 收 到 认证 服务 器 的 响应 消息 ， 如 果 客 户 是 一 个 合法 用 户 ， 将 可 以 方便 地 解密 。 如 
果 客 户 是 一 个 非法 用 户 或 骗子 ， 他 不 知道 密码 ， 因 而 无 法 解答 。 系 统 拒绝 访问 ， 他 无 法 获 
得 票据 或 会 话 密 钥 。 

客户 将 TGT 和 会 话 密 钥 保存 起 来 ， 并 销毁 密码 和 单 向 散 列 函数 ， 防 止 泄密 。 该 信息 只 
在 TGT 的 有 效 期 内 才 有 用 。 一 旦 TGT 过 期 ， 这 些 消 息 便 一 文 不 值 。 

客户 可 在 TGT 的 有 效 期 内 向 TGS 证 实 自己 的 身份 。{A.s Kerg 表示 利用 客户 和 TGS 
共享 的 会 话 密 钥 ，Keees 对 客户 机 到 服务 器 的 认证 码 As 进行 加 密 。 
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(4) 第 四 个 消息 ，TGS 到 客户 : {К.К > {Tes} Kso 

TGS 接收 到 客户 的 请 求 后 ， 用 自己 的 密 钥 解密 此 TGT， 然 后 再 用 TGT 中 的 会 话 密 钥 
解密 认证 码 。 最 后 ，TGS 比较 认证 码 中 的 信息 与 票据 中 的 信息 ， 客 户 的 网 络 地 址 与 发 送 的 
请 求 地 址 ， 以 及 时 间 标 记 与 当前 时 间 。 如 果 每 一 项 都 吻合 ， 便 允许 处 理 该 请 求 。 

如 果 请 求 时 间 相 差 太 远 (假设 所 有 机 器 都 有 同步 时 钟 ， 至 少 在 几 分 钟 内 应 同步 ), 则 TGS 
可 把 该 请 求 当 作 以 前 请 求 的 重 发 , 与 已 收 到 的 请 求 具有 相同 票据 和 时 间 标 记 的 请 求 则 被 忽略 。 

TGS 通过 将 客户 有 效 的 票据 返回 给 服务 器 的 方式 响应 一 个 有 效 请 求 。TGS 还 为 客户 服 
务 器 产生 一 个 新 的 会 话 密 钥 ,此 密 钥 由 客户 和 TGS 共享 的 会 话 密 钥 加 密 。 然后 将 这 两 种 消 
息 返回 给 客户 。 客 户 解密 消息 ， 同 时 获得 会 话 密 钥 。 

(5) 第 五 个 消息 ， 客 户 到 服务 器 : {Acs} kesfTes ks 。 

现在 ， 客 户 向 服务 器 产生 一 个 认证 码 ， 认 证 码 由 上 户 网 络 地 址 和 时 间 标 记 组 
成 , 用 TGS 为 客户 和 服务 器 产生 的 会 话 密 钥 加 密 得 到 。 器 的 请 求 由 从 Kerberos 接收 
到 的 票据 和 加 密 的 认证 码 组 成 。 

及 务 器 检查 解密 后 的 票据 和 认证 码 ， 以 
Kerberos， 服 务 器 可 判断 该 客户 的 身份 。 -LORG A 



























































和 时 间 标 记 。 当 一 切 无 误 后 ， 根 据 
互 认 证 的 应 用 中 ， 服 务 器 给 客户 返回 一 





| 密 。 这 证 明 服 务 器 知道 客户 的 秘密 密 钥 而 且 


个 包含 时 间 标 记 的 消息 ， 该 消息 由 会 话 密 

能 解密 票据 和 认证 码 。 这 样 ， 客 И ЧИ 并 能 确认 消息 是 

TRANH o Е 

4. Kerberos нарт ха. 
A ER Уа: ШІ ІШТІУІ 


БЕТА ШЫ 同步 的 事实 ， 如 果 能 欺骗 主机 ， 使 它 的 正 
确 时 间 发 生 氏 旧 的 认证 码 毫 3 ERER. 
Kerberos 测 密码 攻击 也 很 脆弱 ， 


攻击 者 收集 票据 并 试图 破译 它们 。 只 要 票据 足够 

多 ， 就 有 很 多 机 会 找 出 密码 。 

Kerberos 依 赖 于 Kerberos 软件 .因此 , 黑客 可 以 自己 编写 该 软件 代替 所 有 客户 的 Kerberos 
软件 。 在 不 安全 的 计算 机 网 络 环境 中 ， 它 很 容易 成 为 攻击 的 目标 。 

为 了 加 强 Kerberos 的 安全 性 ， 建 议 采 用 基于 公开 密 钥 的 算法 和 智能 卡 接口 进行 密 钥 的 
管理 。 
3.54 ”数字 证 书 和 基于 РКІ 的 身份 认证 

1. 数字 证 书 

数字 证 书 就 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ， 其 作用 类 似 于 现实 生 
活 中 的 身份 证 。 它 是 由 一 个 权威 机 构 发 行 的 ， 人 们 可 以 在 交往 中 用 它 来 识别 对 方 的 身份 。 
最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 书 中 
还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 ( 证 书 授权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 ， 证 书 
的 格式 遵循 ITUT X.509 国际 标准 。 


使 用 数字 证 书 ， 通 过 运用 对 称 和 非 对 称 密码 体制 等 密码 技术 建立 起 一 套 严 密 的 身份 认 
证 系统 ， 从 而 保证 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ,信息 在 传输 过 程 中 不 被 自 改 ， 
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发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ， 发 送 方 对 于 自己 的 信息 不 能 抵赖 。 

数字 证 书 采用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 自己 
设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 钥 ( 私 钥 )， 用 它 进行 解密 和 签名 ; 同时 设 定 一 把 公 
共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 
文件 时 ， 发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 ， 而 接收 方 则 使 用 自己 的 私 钥 解密 ， 这 样 信 
息 就 可 以 安全 无 误 地 到 达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过 程 ， 即 
只 有 用 私有 密 钥 才能 解密 。 
数字 证 书 是 由 认证 中 心 颁发 的 。 根 证 书 是 认证 中 心 与 用 户 建立 信任 关系 的 基础 。 在 有 
户 使 用 数字 证 书 之 前 必须 首先 下 载 和 安装 。 认 证 中 心 是 一 家 能 向 用 户 签发 数字 证 书 以 确认 
户 身 份 的 管理 机 构 。 为 了 防止 数字 凭证 的 伪造 ， ch “K AN 共 密 钥 必须 是 可 靠 的 ， 认 
证 中 心 必须 公布 其 公共 密 钥 或 由 更 高 级 别 的 认证 中 心 提 KY 省 凭证 来 证 明 其 公共 密 钥 















































































































































的 有 效 性 ， 后 一 种 方法 导致 了 多 级 别 认证 中 心 的 出 现 。 
数字 证 书 颁 发 过 程 如 下 : 用 户 产生 了 自己 的 密 A 共 密 钥 及 部 分 个 人 身份 信 
息 传送 给 一 家 认证 中 心 。 Пеле 一 些 必 要 的 步 又， 以 确信 请 求 确 


























实 由 用 户 发 送 而 来 ， 然 后 ， 认 证 中 心 将 发 名 个 数字 证 书 ， 该 证 书 内 附 了 用 户 和 他 的 
密 钥 等 信息 ， 同 时 还 附 有 对 认证 中 心 如 0 以 确认 的 数字 证 书 。 当 用 户 想 证 明 其 公开 
密 钥 的 合法 性 时 ， 就 5 


2. 基于 PKI 的 身份 认证 
公开 密 钥 基 础 设施 A Key Infras 


供 安 全 服务 的 、] 




































:一 个 用 公 钥 密码 学 技术 来 实施 和 提 











及 亡 应 用 的 安全 基础 个 PKI 的 基础 框架 由 ITU-T Х.509 建议 

标准 定义 。 互 Ж or ШЕ X.509 小 组 以 它 为 基础 开发 了 适合 于 
互联 网 环境 于 数字 证 书 的 形式 (РКІХ) 

PKI 提供 的 服务 包括 身份 认证 、 数 据 的 完整 性 验证 、 密 钥 管 理 、 数 据 加 密 和 抗 否认 性 。 


身份 认证 是 PKI 提供 的 最 基本 的 服务 ， 这 种 服务 可 以 在 未 曾 见面 的 实体 之 间 进 行 ， 特 
别 适 用 于 大 规模 网 络 和 用 户 群 。 其 安全 性 远 远 超过 基于 密码 (也 就 是 口令 ) 的 认证 方式 。 
认证 机 构 CA (Certification Authority) 是 PKIX 的 核心 ， 是 信任 的 发 源 地 。CA 负责 产生 
数字 证 书 和 发 布 证 书 撤销 列表 ， 以 及 管理 各 种 证 书 的 相关 事宜 。 通 常 为 了 减轻 CA 的 处 理 
负担 ， 专 门 用 另外 一 个 单独 机 构 ， 即 注册 机 构 (Registration Authority，RA) 来 实现 用 户 的 注 
册 、 申 请 以 及 部 分 其 他 管理 功能 。 
完整 的 PKI 应 由 以 下 服务 器 和 客户 端 软件 构成 : CA 服务 器 ， 提 供 产生 、 分 发 、 发 布 、 
撤销 、 认 证 等 服务 ; 证 书库 服务 器 ， 保 存 证 书 和 撤销 消息 ， 备 份 和 恢复 服务 器 ， 管 理 密 钥 
历史 档案 ， 时 间 戳 服务 器 ， 为 文档 提供 权威 时 间 信 息 。 
当 用 户 向 某 一 服务 器 提出 访问 请 求 时 ， 服 务 器 要 求 用 户 提交 数字 证 书 。 收 到 用 户 的 证 
书后 ， 服 务 器 利用 CA 的 公开 密 钥 对 CA 的 签名 进行 解密 ， 获 得 信息 的 散 列 码 。 然 后 服务 
器 用 与 CA 相同 的 散 列 算法 对 证 书 的 信息 部 分 进行 处 理 ， 得 到 一 个 散 列 码 ， 将 此 散 列 码 与 
对 签名 解密 所 得 到 的 散 列 码 进行 比较 ， 若 相等 则 表明 此 证 书 确实 是 CA 签发 的 ， 而 且 是 完 
整 性 未 被 算 改 的 证 书 。 这样 ， 用 户 便 通过 了 身份 认证 。 服 务 器 从 证 书 的 信息 部 分 取出 用 户 
的 公 钥 ， 以 后 向 用 户 传送 数据 时 ， 便 以 此 公 钥 加 密 ， 对 该 信息 只 有 用 户 可 以 进行 解密 。 
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3. 


本 章 先 简要 介绍 了 密码 技 АЖЖ ， 然 后 以 DES 算法 为 例 讲 述 了 对 
称 密码 体制 ， 以 RSA 算法 为 鲍 讲 述 了 公开 密码 体 A 算法 为 例 描述 了 数字 签名 原 
理 ， 以 Keberos 协议 和 PKI 体系 为 重点 讲述 了 证 的 主要 技术 。 另 外 也 简要 介绍 了 密 
on 3 "ЗЕ h 
y 


例 ， 以 加 深 对 密码 学 抽象 概念 的 理解 。 
м A 
x° 3.7 Ж = s ill 


实 训 1: SSH 安装 与 使 用 
实 训 目 的 


SSH 是 一 个 用 来 替代 Telnet, FTP 及 R 命令 的 工具 包 ， 主 要 用 来 解决 数据 在 网 络 上 明 
文 传输 的 问题 。 


实 训 环境 

(1) 硬件 : 两 台 安 装 任意 Windows 操作 系统 的 PC。 

(2) 软件 : Windows 系统 平台 下 的 SSH 服务 器 与 客户 端 软件 SSHWinServer 和 
SSHWinClient-3.1.0-build235。 

实验 内 容 

І. 安装 和 启动 SSH 服务 器 端 软件 

(1) 启动 SSHWinServer 的 安装 ， 如 图 3.9 所 示 。 在 安装 过 程 中 会 提示 随意 移动 鼠标 生 
成 随机 加 密 密 钥 ， 如 图 3.10 所 示 。 


> 小 结 





































ТАБРЕЗИ 


SSH Secure Shell Server Evaluation Version Setup 


Welcome to the installation wizard for SSH 
Secure Shell for Windows Servers. 


The instalation wizard wa instal SSH Secure Shell Server 
on your computer. To cornue. cick Мен. 





ЗА” 图 3.10 Жей еи 
(2) жазы Windows АКР, ЗЕҢ 2% 
端 进行 身份 认证 ， 如 图 3.11 所 示 。 
(3) 启动 SSH 服务 ， 如 图 3.12 所 示 。 


生理 员 组 ， 用 于 对 客户 
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E) naa 


图 SSK Hone Page 
E) SSH Technical Support 
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图 3.11 创建 Windows 用 户 账户 图 3.12 启动 SSH 服务 
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2. 安装 使 用 客户 端 软件 

(1) 在 另 一 台 PC 上 安装 并 运行 SSH 客户 端 软件 ， 如 图 3.13 所 示 。 新 建 连接 配置 ， 输 
入 服务 器 端 IP 地 址 、 用 户 名 和 认证 方式 ， 这 里 选用 口令 认证 方式 ，22 是 SSH 默认 目标 端 
口 ， 如 图 3.14 所 示 。 


| Ве Edt vew Wndow Hep 
шап зя rr даа $ ew 














Cancel 


Authentication  [Passwor, 











图 3.13 运行 ая 2 图 3.14 ”新 建 连接 
(2) 输入 口令 后 将 成 功放 月 务 器 端 ， 可 LAEE 行 操作 系统 命令 ， 如 图 3.15 所 示 。 





3.15 连接 成 功 


(3) 单 击 工具 栏 中 的 New File Transfer Window 按钮 ， 可 以 进行 文件 传输 ， 如 图 3.16 和 
图 3.17 所 示 。 

(4) 可 以 用 Wireshark 监听 软件 进行 数据 报 文 捕获 与 分 析 ， 在 步骤 (1) 之 前 先 在 SSH ЛК 
务 器 端 安装 并 启动 Wireshark， 设 置 过 滤器 条 件 ， 如 图 3.18 所 示 ， 启 动 捕获 报 文 ， 然 后 按照 
步骤 (D) 一 G) 进 行 操作 。 

(5) 从 所 捕获 的 数据 报 文中 可 以 看 到 SSH 的 连接 过 程 和 数据 交换 过 程 ， 不 同 于 Telnet 
服务 ， 客 户 与 服务 器 之 间 是 以 加 密 方式 通信 的 ， 如 图 3.19 所 示 。 
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NY x ge Чғеәта( Бааган 四 | 加 





10. 90. 3.12 
10190.3111 
10. 90. 3.12 


lient: кеу Exchange Init 
ssh > 4293 [ACK] Seq-1016 Ack=36 
2; 10:90:3: Client: Oiffie-He]]man кеу Excha 

17611 ART AVANA Sarvar: MifFia-uaTIman wav туға ~ 


























图 3.19 进行 报 文 分 析 
实 训 2: РОР 安装 与 使 用 
实 训 目的 


PGP 作为 一 款 密码 学 应 用 工具 ， 应 用 十 分 普及 ， 但 还 不 是 共享 软件 ， 且 安装 后 要 重新 
启动 计算 机 ， 对 于 在 装 有 还 原 卡 的 机 房 做 实验 很 不 方便 。 本 实验 采用 PGPfreeware 6.5.3, 
具有 简单 和 易 用 的 特点 ， 安 装 后 无 须 重 启 计算 机 。 
































通过 实验 可 以 掌握 PGP 软件 的 安装 、 密 
作 ， 理 解密 码 学 的 抽象 概念 和 功能 
实 训 环 境 


(1) 硬件 : 两 台 PC 分 别 E 
(2) 软件 ，Windows 2000/2003/ХР 45% 
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钥 的 生成 与 交换 、 文 件 的 加 密 与 签名 等 基本 操 


两 位 用 户 Alice 和 Bob 操作 (以 下 标 为 PC_Alice 和 PC_Bob)。 





实验 内 容 


1. 安装 PGP 





3,20 РОР 安装 1 Ga 


Ев. PGPfreeware_6.5.3 软件 。 


Myou hava an qen commocion, we suggest that you send 
new pubic key to ће server. 


This val make i eazy for you corespondenta to get your key and 
communale wih you еси 


ey 


H you dorit have an Intemet connection, or 
«Өнген leave "Serd ny key to the oot 
can send your kay lte hom wiin PGPreys 


> are not connected 


LCI TI 














图 3.21 PGP 安装 2 





(2) PGP 用 密 钥 环 文件 (Keyrings) 创 建 和 管理 密 钥 , 安装 过 程 出 


示 时 ， 单 击 【 耕 】 按 钮 。 随 后 提示 创建 密 钥 对 (Key Pain) 时 ， 单 击 【 下 
P 输 入 用 户 名 和 邮箱 地 址 (做 实验 时 可 以 随意 输入 )， 单 击 【下 一 步 】 按 钮 再 输入 密 钥 的 保护 


9 





密码 ,至 少 8 位 。 图 3.22 所 示 是 用 户 Alice fE РС Аісе 上 的 输入 ， 


岗 是 否 已 经 有 密 钥 环 的 提 
- 步 】 按 钮 ， 在 对 话 框 











输入 Bob 的 用 户 名 和 邮箱 地 址 。 随后 就 人 在 密 钥 环 中 看 到 已 创建 的 





Ну" Bob 在 PC_Bob 上 应 
密 钥 对 ， 如 图 3.23 所 示 。 


What rana wa emad siteit thoid be sto ued ndh те iay 
ри? 


By birg уса nana erd көзі абве here pou. 
еттт а pe Yay еу ve ra Daeng to yoti 


Bana 
ж. 


Еты овен 
AceB123canl 








322 ”创建 密 钥 对 
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оно pubic k 





20480024 
409671024 
2048024 
30720024 
2059024 
20480024 


DHOSS pubic k 
DHOSS pubio k 
DHOSS pubic 
DHOSS pubic k 
DHOSS рысь. 


1000000 


图 3.23 显示 密 钥 对 





Fs 


2. 密 钥 交 换 

Alice 在 PC_Alice 上 用 托盘 中 PGPtray 的 快捷 菜单 选项 PGPkeys 打开 密 钥 环 文件 ， 把 
己 的 密 钥 导出 到 一 个 文件 Alice.asc 中 ， 注 意 默认 Alice.asc 只 是 Alice 的 公 钥 ， 可 以 用 于 
他 用 户 给 Alice 发 送 加 密 文件 , 如 图 3.24 所 示 。 Alice 把 文件 Alice.asc 复制 或 发 送 给 Bob, 
Bob 将 其 导入 自己 的 密 钥 环 中 。Bob 也 执行 同样 操作 ， 把 自己 的 密 钥 导 出 到 Bob.asc 交 
给 Alice, H Alice 将 其 导入 到 自己 的 密 钥 环 中 ， 如 图 3.25 所 示 。 至 此 Alice 和 Bob 完成 密 
钥 交 换 ， 注 意 密 钥 环 文件 在 关闭 时 会 提示 保存 ， 按 照 默认 提示 保存 即 可 。 
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图 3.24 Alice 导出 图 3.25 Alice 成 功 导入 Bob 的 密 钥 对 
з MEARE My оз 
(1) H Bob тА 24 doc КІЛІ ха 26 所 示 。 选 择 的 接收 密 文 的 用 户 对 
象 是 Alice, #10 步 导入 的 Ali cogi 对 ， 如 图 3.27 所 示 。 
(2) Bob: ии ае Мау, yaaa 自己 的 私 钥 , 因此 提示 输入 保护 Bob 


私 钥 的 密码 ， 3.28 所 示 。 操 作 完成 后 就 产生 了 加 密 并 签名 的 文件 Bob2Alice.doc.pgp， 
随后 Bob 将 其 复制 或 发 送 给 Alic。 


тт man ай) TEN IAD WP 


О-О ЖІ лене тасады ы Dx a 











图 3.26 文件 加 密 并 签名 图 3.27 选择 密 文 接收 对 象 
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Soinokey: [Bob Beaz сөс ps 7) 
Erter paesphease fot above keye F Hide Taping 








Сок 1 | 


3.28 ”输入 私 钥 的 密码 
4. 解密 和 验证 签名 
(1) Alice 收 到 Bob2Alice.doc.pgp 后 右 击 选择 PGP|Decrpt & Verify 命令 即 可 。 





























的 是 先前 导入 的 Bob 的 公 钥 ， 如 图 3.29 和 图 3.30 所 示 。 


К 


(2) 解密 时 用 的 是 Alice 的 私 铀 ， 所 以 Alice ШАН рий 验证 签名 







Message was enciypted to the lolowing public кеуі) 
Aice cAice@123 com [DH/2048) 


Erter passphrase lot your private кеу 7 Hide Typing 
l - 


ra à 
图 3.29 解密 K 
实 训 З. 数字 i 与 安装 АУ 
5% i x 
实 训 目的 
了 解数 字 证 书 的 基本 概念 、 申 请 和 颁发 和 安装 过 程 。 
实 训 环境 
一 台 能 够 连接 到 Internet 的 PC, 
实验 内 容 
访问 www.ca365.com， 或 其 他 数字 认证 服务 机 构 的 网 站 ， 申 请 并 安装 个 人 测试 证 书 。 
(D 认真 阅读 网 站 提供 的 用 户 手册 和 技术 论坛 ， 如 图 3.31 所 示 。 
(2) 下 载 并 安装 根 CA 证 书 ， 单 击 【 保 存 】 按 钮 ， 并 打开 安装 所 下 载 的 证 书 文件 ， 如 
图 3.32 和 图 3.33 所 示 。 
(3) 打开 浏览 器 ,在 工具 菜单 下 单 击 mternet 选项 ， 进 入 内 容 栏 下 的 证 书 对 话 框 查看 受 
信任 的 根 证 书 颁发 机 构 ， 可 以 看 到 刚刚 安装 好 的 CA365 根 证书 ， 如 图 3.34 所 示 。 
(4) 填写 表格 申请 并 安装 个 人 测试 证 书 ， 如 图 3.35 一 图 3.38 所 示 。 


Уау ей 
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330 ”验证 签名 
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文件 下 载 


Lt алыс 
ЖЕ ry ағ 


НЕНА: 。 Ch385 Test Root Certificate 
MRE: CAIS Test Root Certificate 


RARMAN 2010-1-12 到 203-11-19 
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图 3.32 ТӨЛ СА 证 书 图 3.33 安装 根 CA 证书 
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图 3.34 CA365 根 CA 证 书 已 安装 到 本 地 计算 机 
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Е 3.37 填 表 申请 个 人 测试 证 书 (3) 图 3.38 填 表 申请 个 人 测试 证 书 (4) 
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(5) 如 图 3.35 所 示 ， 使 用 数字 证 书 能 够 实现 客户 身份 验证 、 电 子 邮 件 的 加 密 和 数字 签 
名 等 功能 。 电 子 邮 件 的 加 密 和 数字 签名 更 详细 的 介绍 可 以 参考 www.ca365.com 提供 的 用 户 
手册 “6. 如 何 发 送 签名 、 加 密 邮 件 ? ”和 本 书 第 6 章 应 用 案例 “Outlook Express 安全 ”， 
PE 件 服务 器 可 以 在 Windows Server 2003/2008 上 安装 Microsoft Exchange Server 或 ІМай 
Server 软件 来 创建 ， 也 可 以 使 用 126 邮件 服务 器 ， 地 址 是 pop3.126.com/smtp.126.com。 数 
字 证 书 也 能 用 于 建立 SSL Web 服务 ， 详 细 的 步骤 参考 本 书 最 后 一 章 综合 实 训 。 





















































3.8 本 章 习 题 








1. 填空 题 Ж» 
(1) 在 密码 学 中 通常 将 源 信息 称 为 ， Kiam 。 这 个 变 
换 处 理 过 程 称 为 过 程 ， 它 的 逆 过 程 称 过 程 。 


n > 位 ， 整 个 加 密 过 程 需 经 过 


轮 的 子 变 换 。 ж 
(3) 常见 的 密码 技术 有 和 А 

(4) 认证 是 对 T 区 在 系统 中 的 权限 ， 识 别 则 是 判断 
通信 对 象 是 哪 各 身份。 27 


2. 选择 题 ҳ- V 
а) AFR ДТ ық ҚА. 
ақа 




















A. I B. RC C. DES D. RSA 
(2) 以 下 不 属于 公 钥 密码 算法 特点 的 是 (。”)。 

A. 计算 量 大 В. 处 理 速度 慢 

C. 使 用 两 个 密码 D. 适合 加 密 长 数据 
(3) 对 于 一 个 数字 签名 系统 的 非 必 要 条 件 有 ( 。” )。 








А. 一 个 用 户 能 够 对 一 个 消息 进行 签名 
в. 其 他 用 户 能 够 对 被 签名 的 消息 进行 认证 ， 以 证 实 该 消息 签名 的 真 伪 
с. 任何 人 都 不 能 伪造 一 个 用 户 的 签名 
D. 数字 签名 依赖 于 诚信 
(4) 不 属于 公 钥 管理 的 方法 有 ( )- 
А. 公开 发 布 B. 公用 目录 表 с. 公 钥 管理 机 构 D. 数据 加 密 





























(1) 简 述 公 钥 体制 和 私 钥 体 制 的 主要 区 别 。 
(2) 数据 加 密 算法 可 以 分 为 几 大 类 型 ? 各 举 一 例 说 明 。 
(3) 简要 说 明 DES 加 密 算法 的 关键 步骤 。 
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(4) RSA 算法 的 基本 原理 和 主要 步骤 是 什么 ? 

(5) 什么 情况 下 需要 数字 签名 ? 简 述 数字 签名 的 算法 。 

(6) 简要 说 明 密 钥 管理 的 主要 方法 。 

(7) 什么 是 身份 认证 ? 用 哪些 方法 可 以 实现 ? 

(8) Kerberos 是 什么 协议 ? 简要 描述 Kerberos 的 鉴别 原理 。 
(9) PKI 提供 的 安全 服务 有 哪些 ? 
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操作 系统 是 用 来 篇 计算 机 软 硬 件 许 源 症 整 个 计算 机 系统 运行 的 系统 软件 ， 计 算 
机 的 一 切 应 用 都 以 系统 为 支撑 平台 8 舌 从 网 络 的 操作 系统 还 要 同时 响应 多 用 户 多 任务 
的 资源 或 服 ЗЫР, 所 以 操作 系统 的 安全 性 就 是 要 在 开放 和 共享 的 环境 中 认证 用 户 的 身份 、 
对 系统 资源 执行 访问 控制 和 保护 ， 保 障 整 个 计算 机 应 用 系统 乃至 网 络 系统 的 安全 。 
4.1.1 操作 系统 安全 管理 目标 

操作 系统 安全 管理 包括 多 个 要 素 ， 如 普通 用 户 的 安全 、 超 级 用 户 的 安全 、 文 件 系统 的 
安全 、 进 程 安全 以 及 网 络 安全 等 ， 只 有 以 上 各 个 要 素 协 调配 合 才能 真正 保证 系统 的 安全 。 

1， 防 止 非法 操作 

操作 系统 安全 最 重要 的 目标 就 是 防止 未 被 允许 使 用 系统 的 用 户 进入 系统 或 者 没有 合法 
权限 的 人 员 进 行 越权 操作 。 用 户 和 网 络 活动 的 周期 检查 是 防止 未 授权 存 取 的 关键 。 

2. 数据 保护 


数据 保护 是 系统 安全 的 一 个 重要 方面 ， 可 防止 已 授权 或 未 授权 的 用 户 相互 存 取 重 要 的 
信息 。 文 件 系统 完整 性 检查 、 用 户 意识 和 数据 加 密 都 是 防止 泄露 的 关键 。 


3. 管理 用 户 
这 方面 的 安全 应 由 操作 系统 来 完成 。 一 个 系统 不 应 该 被 一 个 有 意 试 图 使 用 过 多 资源 的 







































































Fs 


户 损害 。 系 统管 理 员 可 使 用 系统 提供 的 工具 或 第 三 方 工具 周期 性 地 检查 系统 ， 查 出 过 多 
占用 CPU 的 进程 和 大 量 占用 磁盘 的 文件 ， 必 要 时 进行 清除 。 
4、 保 证 系统 的 完整 性 
在 日 常 管理 中 ， 系 统管 理 员 应 周期 性 地 备份 文件 系统 ， 以 便 系统 崩溃 后 能 及 时 修复 文 
件 系统 。 当 有 新 用 户 时 ， 应 检测 该 用 户 的 操作 或 使 用 的 软件 是 否 会 造成 系统 拥 溃 。 
5， 系 统 保护 
阻止 任何 用 户 冻 结 系统 资源 。 如 果 某 个 用 户 过 长 时 间 占 用 某 个 系统 资源 ， 必 须 有 相应 
的 措施 剥夺 他 的 使 用 权 ， 否 则 将 会 影响 其 他 用 户 的 使 用 ， 甚 至 导致 系统 的 骨 溃 。 
412 “操作 系统 安全 管理 措施 
操作 系统 的 安全 管理 措施 主要 由 安装 系统 补丁 、 滞 洽 亲 从 控 制 、 用 户 账户 及 密码 安全 、 
文件 系统 安全 、 主 机 安全 管理 等 组 成 。 操 作 系统 的 实 夹 管理 核心 是 普通 用 户 安全 管理 和 特 
权 级 用 户 安全 管理 。 
1， 普 通用 户 安全 管理 R 
系统 管理 员 的 职责 之 一 是 保证 秘宝 实例 ， 这 其 中 的 部 分 工作 是 由 用 户 的 管理 部 门 来 完 
成 的 。 但 是 作为 系统 管理 员 ,1 各 窒 伦 发 现 和 报告 系 乡 问题 ， 因 为 系统 管理 员 负 责 系 
统 的 运行 ， 要 提前 向 普 











































































































































SM E 事故 的 发 生 。 
奖 全 性 的 一 个 重要 因 泰 , 阁 果 用 户 的 管理 部 门 对 安全 要 求 不 强烈， 









增强 管理 意识 是 
系统 管理 员 可 能 已 强化 安全 规则 。 “让 管理 部 门 建立 一 套 每 个 人 都 必须 遵守 的 


“SE, Ж АНА (ЕЕЕ ЕЗЕР ЗУ ЕМІН ZARR EATA АД» ik 
用 户 明 确信 息 是 有 价值 的 资产 。 系 统管 理 员 应 当 使 安全 保护 方法 对 用 户 尽 可 能 简单 ， 提 供 
- 些 提高 安全 性 的 工具 ， 多 培训 用 户 一 些 关 于 系统 安全 的 知识 ， 确 保 用 户 知道 自己 的 许可 
权限 。 如 果 发 现 用 户 有 破坏 系统 安全 的 行为 而 本 人 没有 意识 到 ， 就 及 时 给 他 们 一 些 提示 或 
告 。 用 户 掌握 的 安全 知识 越 多 ， 系 统管 理 员 在 保护 用 户 利益 方面 要 做 的 工作 就 越 少 。 

2. 特权 用 户 安全 管理 
权 用 户 (在 Windows Server 2003 系统 中 称 管理 员 ， 默 认 账 户 为 Administrator) 拥 有 对 
的 任何 文件 和 目录 的 完全 控制 权限 ， 它 可 以 控制 所 有 用 户 的 权限 ， 运 行 所 有 的 操作 
令 。 因 此 超级 用 户 账 户 的 安全 几乎 等 同 于 系统 的 安全 性 ， 超 级 用 户 的 密码 一 旦 被 丢 
失 ， 系 统 维护 工作 将 很 难 进行 。 如 果 该 密码 被 恶意 破坏 或 获得 ， 系 统 就 毫 无 安全 可 言 。 
于 超级 用 户 可 以 对 系统 进行 任意 操作 , 因此 在 某 种 意义 上 ， 对 系统 来 说 是 最 危险 的 。 
以 下 是 超级 用 户 需要 注意 的 地 方 。 
(1) 在 日 常 使 用 中 最 好 不 要 使 用 该 账户 ， 以 普通 用 户 的 身份 登录 可 以 防止 对 系统 进行 
无 意 的 修改 ， 以 超级 用 户 的 身份 进行 系统 维护 应 保证 输入 的 每 个 命令 的 正确 性 。 

(2) 尽量 不 要 以 超级 用 户 身份 运行 其 他 程序 。 

(3) 经 常 改 变 超级 用 户 的 密码 。 
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(4) 如 果 系 统管 理 员 认为 系统 已 经 泄密 ， 则 应 当 设 法 查 出 泄密 者 。 若 泄密 者 是 本 系统 
的 用 户 时 ， 要 及 时 与 用 户 的 管理 部 门 联系 ， 并 检查 该 用 户 的 文件 ， 查 找 任何 可 疑 的 文件 ， 
然后 对 该 用 户 的 登录 小 心地 监督 几 个 星期 。 如 果 泄 密 者 不 是 本 系统 的 用 户 ， 可 让 本 公司 采 
取 合 法 的 措施 ， 并 要 求 所 有 的 用 户 改变 用 户 密码 ， 让 所 有 用 户 知道 出 了 安全 事故 ， 通 知 
户 应 当 检 查 自己 的 文件 是 否 有 被 更 改 的 迹象 。 如 果 系 统管 理 员 认为 系统 软件 已 被 更 改 了 ， 
就 应 当 从 原版 系统 盘 ( 或 软盘 ) 上 重 装 所 有 系统 软件 ， 及 时 修补 漏洞 。 































































































4.2 Windows Server 2003 账户 安全 

















使 用 Windows Server 2003 系统 , 必须 具备 合法 的 账户 ， ed Intemet 
ee id k 户 安全 管理 内 容 。 


iia 


) 存 储 了 有 关 网 络 对 象 的 信息 ， 例 如 用 
:策略 ， 可 以 让 管理 员 和 用 户 能 够 轻松 地 查 
-种 结构 化 的 数据 存储 方式 ， 并 以 此 为 基础 对 


4.2.1 Windows Server 2003 活动 目录 








Windows Server 2003 活动 目录 (Active、D 
织 单 位 ( 











户 、 




















目录 信息 进行 分 层 组 织 。 


目录 存储 在 被 称 为 域 控 络 应 用 程序 或 者 服务 所 访问 。 











一 个 域 可 能 拥有 一 台 以 降 制 器 。 每 一 台 器 都 拥有 它 所 在 域 的 目录 的 一 个 可 写 
副本 。 对 目录 的 任 可 以 从 源 域 控 制 证 到 域 、 域 树 或 者 森林 中 的 其 他 域 控制 器 


都 拥有 目录 的 一 个 可 写 副本 ， 所 以 用 户 和 


上 。 由 于 目录 可 而 且 所 有 
管理 员 便 可 以 次 域 的 任何 位 置 方便 地 获得 廊 需 的 目录 信息 。 目 录 数 据 存储 在 域 控 制 器 上 的 
Ntds.dit 文件 中 。 该 文件 应 当 存 储 在 一 个 NTFS 分 区 上 。 


Active Directory 和 安全 性 相关 。 安 全 性 通过 登录 身份 验证 及 目录 对 象 的 访问 控制 集成 
在 Active Directory 之 中 。 通 过 单 点 网 络 登 录 ， 管 理 员 可 以 管理 分 散在 网 络 各 处 的 目录 数据 
和 组 织 单位 ， 经 过 授权 的 网 络 用 户 可 以 访问 网 络 任意 位 置 的 资源 。 基 于 策略 的 管理 则 简化 
了 网 络 的 管理 ， 即 便 是 那些 最 复杂 的 网 络 也 是 如 此 。 

Active Directory 通过 对 象 访问 控制 列表 及 用 户 凭据 保护 其 存储 的 用 户 账户 和 组 信息 。 
因为 Active Directory 不 但 可 以 保存 用 户 凭据 ， 而 且 可 以 保存 访问 控制 信息 ， 所 以 登录 到 网 
络 上 的 用 户 既 能 够 获得 身份 验证 ， 也 可 以 获得 访问 系统 资源 所 需 的 权限 。 例 如 ， 在 用 户 登 
录 到 网 络 上 的 时 候 ， 安 全 系统 首先 利用 存储 在 Active Directory 中 的 信息 验证 用 户 的 身份 。 
然后 ， 在 用 户 试图 访问 网 络 服务 的 时 候 ， 系 统 会 检查 在 服务 的 自由 访问 控制 列表 (DCAL) 
中 所 定义 的 属性 。 
因为 Active Directory 允许 管理 员 创 建 组 账户 ,管理 员 可 以 更 加 有 效 地 管理 系统 的 安全 
性 。 例 如 ， 通 过 调整 文件 的 属性 ， 管 理 员 能 够 允许 某 个 组 中 的 所 有 用 户 读 取 该 文件 。 通 过 
这 种 办 法 ， 系 统 将 根据 用 户 的 组 成 员 身份 控制 其 对 Active Directory 中 对 和 象 的 访问 操作 。 

成 员 计 算 机 是 加 入 到 域 并 且 可 为 域 提供 资源 和 使 用 域 资源 的 计算 机 。 成 员 计算 机 可 以 
是 服务 器 ， 也 可 以 是 普通 工作 站 。 
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可 以 先 在 一 台 计 算 机 上 安装 Windows Server 2003 操作 系统 , 然后 通过 将 服务 器 升级 到 
域 控制 器 的 过 程 来 安装 活动 目录 。 其 他 还 要 求 计算 机 硬盘 至 少 要 有 一 个 分 区 是 NTFS 文件 
系统 ， 要 安装 DNS 服务 器 ; 用 户 应 当 是 系统 管理 员 或 要 具有 相关 的 权限 。 


422 ”账户 种 类 


账户 是 Windows Server 2003 网 络 中 的 一 个 重要 组 成 部 分 , 账户 代表 着 需要 访问 网 络 资 
源 的 用 户 ， 从 某 种 意义 上 说 账户 就 是 网 络 世 界 中 用 户 的 身份 证 。Windows Server 2003 网 络 
依靠 账户 来 管理 用 户 , 控制 用 户 对 资源 的 访问 , 每 一 个 需要 访问 网 络 的 用 户 都 要 有 一 个 账户 。 

在 Windows Server 2003 网 络 中 有 两 种 主要 的 账户 类 型 : 域 用 户 账户 和 本 地 用 户 账户 。 
除 此 之 外 ，Windows Server 2003 操作 系统 中 还 有 内 "A 















































































域 用 户 账户 < 
域 用 户 账户 是 用 户 访 问 域 的 唯一 凭证 ， 因 此 在 域 中 。 域 用 户 账户 在 域 控 
制 器 上 建立 ， 作 为 活动 目录 的 . А йер. а н 何 一 台 计 





算 机 登录 到 域 中 的 时 候 必 须 提供 一 个 合法 账户 ， 该 账户 将 被 域 控制 器 所 验证 。 

域 用 户 账户 的 数据 库 称 为 安全 账 管 理 器 (Security Accounts Manager, SAM), SAM 
ТІ) 域 控制 器 上 NS DS\NTDS.DIT 文件 中 。 为 了 保证 账户 在 域 中 的 
唯一 性 ， 每 个 账户 都 被 Window: -的 SID(Security Identifier， 安 全 
识别 符 )， 该 SID 是 独 一 无 习 当 于 身份 证 上 SID 成 为 一 个 账户 的 属性 ， 不 随 
账户 的 修改 、 更 名 而 被 琶 动 /并且 一 旦 账户 被 删 队 ,- 则 SID 也 将 不 复 存在 。 即 使 重新 创建 
-个 一 模 一 样 的 账户 。 基 SID 也 不 会 和 原 有 - 样 ， 对 于 Windows Server 2003 而 言 ， 
as A 在 Windows 85ДЕ з 系统 中 ,实际 上 是 利用 SID 来 对 应 用 户 的 
权限 ， 因此 不 同 ， 新 建 的 账户 副 不 会 继承 原 有 账户 的 权限 与 组 的 隶属 关系 。 

2. 本 地 用 户 账户 


本 地 用 户 账户 只 能 建立 在 Windows Server 2003 独立 服务 器 上 , 以 控制 用 户 对 该 计算 机 
资源 的 访问 。 也 就 是 说 ， 如 果 一 个 用 户 需 要 访问 多 台 计 算 机 上 的 资源 ， 而 这 些 计算 机 不 属 
于 某 个 域 ， 则 用 户 要 在 每 一 台 需 要 访问 的 计算 机 上 拥有 相应 的 本 地 用 户 账户 ， 并 在 登录 某 
台 计 算 机 时 由 该 计算 机 验证 。 这 些 本 地 用 户 账户 存放 于 创建 该 账户 的 计算 机 上 的 本 地 SAM 
数据 库 中 。 这 些 账户 在 存放 该 账户 的 计算 机 上 必须 是 唯一 的 。 
于 本 地 用 户 账户 的 验证 是 由 创建 该 账户 的 计算 机 来 进行 的 ， 因 此 对 于 这 种 类 型 账户 
的 管理 是 分 散 的 。 通 常 不 建议 在 成 员 服务 器 和 基于 Windows XP 的 计算 机 上 建立 本 地 用 户 
账户 。 这 些 账 户 不 能 在 域 环境 中 统一 管理 、 设 置 和 维护 ， 并 且 使 用 这 种 类 型 账户 的 用 户 在 
访问 域 的 资源 时 还 要 再 提供 一 个 域 用 户 账户 ， 同 时 要 经 过 域 控制 器 的 验证 。 这 些 都 使 得 本 
也 用 户 账户 不 适用 在 域 的 环境 下 ， 并 且 也 容易 造成 安全 隐患 。 因 此 应 当 在 域 的 环境 中 只 使 
域 用 户 账户 。 本 地 用 户 账户 适用 于 工作 组 模式 中 ， 该 模式 中 没有 集中 的 网 络 管理 者 ， 必 
须 由 每 台 计算 机 自己 维护 账户 与 资源 。 

与 域 用 户 账户 一 样 ， 本 地 用 户 账户 也 有 一 个 唯一 的 SID 来 标识 账户 ， 并 记录 账户 的 权 
恨 和 组 的 来 属 关系 。 
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3. 内 置 的 用 户 账 户 


内 置 的 用 户 账户 是 Windows Server 2003 操作 系统 自 带 的 账户 ， 在 安装 好 Windows 
Server 2003 之 后 ， 这 些 账户 就 存在 了 ， 并 被 赋予 了 相应 的 权限 。Windows Server 2003 利用 
这 些 账户 来 完成 某 些 特定 的 工作 。Windows Server 2003 中 常见 的 内 置 用户 账 户 包括 
Administrator( 管 理 员 ) 和 Guest( 来 宾 ) 账 户 。 这 些 内 置 用 户 账户 不 允许 被 删除 ， 并 
Administrator 账户 也 不 允许 被 屏蔽 ， 但 内 置 用 户 账户 允许 更 名 。 

1) Administrator 账户 

Administrator 账户 被 赋予 在 域 中 和 在 计算 机 中 具有 不 受 限制 的 权利 ， 该 账户 被 设计 
于 对 本 地 计算 机 或 域 进行 管理 ， 可 以 从 事 创 建 其 他 用 户 账户 、 创 建 组、 实施 安全 策略 、 管 
理 打印 机 以 及 分 配 用 户 对 资源 的 访问 权限 等 工作 。 7а 

由 于 Administrator 账户 的 特殊 性 ， 该 账户 х 意 的 用 户 













































































HTK, RAK 
低 该 账户 的 安全 风险 。 














击 的 首选 对 象 。 出 于 安全 性 的 考虑 ， 建 议 将 该 账户 


账户 默认 情况 下 不 允许 对 域 或 计算 机 资源 做 永久 性 的 更 改 。 出 于 安全 考虑 ， 
Guest 账户 在 Windows Server 2003 后 是 被 屏蔽 的 。 如 果 需 要 ， 可 以 手动 启动 ， 用 
户 应 该 注意 分 配给 该 账户 的 权 


à m a 
423 ”账户 与 密码 约定 


在 规划 DRE ег 2003 域 时 ， ei 即 账户 的 命名 约定 和 账 
ss ``. же 

1. жә У же 
日 于 账户 在 域 中 的 重要 性 和 唯一 性 ， 因 此 账户 的 命名 约定 十 分 重要 。 一 个 好 的 账户 命 
名 约定 将 有 助 于 规划 一 个 高 效 的 活动 目录 。 

Windows Server 2003 的 账户 命名 约定 包括 如 下 内 容 。 

(1) 域 用 户 账户 的 用 户 登 录 名 在 AD 中 必须 唯一 。 

(2) 域 用 户 账户 的 完全 名 称 在 创建 该 用 户 账户 的 域 中 必须 唯一 。 

(3) 本 地 用 户 账户 在 创建 该 账户 的 计算 机 上 必须 唯一 。 

(4) 如 果 用 户 名 称 有 重复 ， 则 应 该 在 账户 上 区 别 出 来 。 

(5) 对 于 临时 雇员 应 该 做 出 特殊 的 命名 ， 以 便 标识 出 来 。 
户 账户 的 登录 名 最 多 可 以 包含 20 个 大 小 写字 符 和 数字 ， 不 能 使 用 系统 保留 字符 : /、 
Қы, өз», Sy % 25-5, > 


一 个 良好 的 账户 命名 约定 将 会 提高 应 用 程序 的 运行 效率 ， 并 且 更 易 使 用 。 

2. 密码 约定 

密码 用 来 验证 账户 的 使 用 者 的 合法 性 ， 因 此 对 于 在 商业 环境 中 的 操作 系统 而 言 ， 密 码 
的 约定 是 十 分 重要 的 。 


2) Guest 账户 
Guest 账户 一 般 被 用 ee 的 用 户 临时 访问 域 或 计算 机 。 该 
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通常 使 用 密码 有 如 下 原则 。 
(1) 尽量 避免 带 有 明显 意义 的 字符 或 数字 的 组 合 ， 最 好 采用 大 小 写 和 数字 的 无 意义 混 
合 。 在 不 同安 全 要 求 下 ， 规 定 最 小 的 密码 长 度 。 通 常 密码 越 长 越 不 易 被 猜 到 (最 长 可 以 达到 
128 位 )。 
(2) 对 于 不 同 级 别 的 安全 要 求 ， 确 定 用 户 的 账户 密码 是 由 管理 员 控制 还 是 由 账户 的 拥 
有 者 控制 。 
(3) 定期 更 改 密码 ， 尽 量 使 用 不 同 的 密码 。 有 关 密 码 的 策略 可 以 由 系统 管理 员 在 密码 
策略 管理 工具 中 加 以 规定 ， 以 保护 系统 的 安全 性 。 
424 ”账户 和 密码 安全 设置 


为 了 控制 用 户 对 域 的 访问 ， 加 强 域 的 安全 性 ， 可 以 设置 录 域 的 时 间 及 可 以 从 哪 
人 台 工 作 站 登录 到 域 中 等 ， 这 些 选项 都 可 以 在 用 户 的 属 栓 器 烽 以 确定 。 男 外 对 于 已 经 不 再 在 
企业 中 工作 的 员工 来 说 ， 及 时 删除 或 屏蔽 该 员工 的 户 是 很 重要 的 ， 否 则 将 是 一 个 安 
全 隐患 。 利 用 【账户 】 选 项 卡 中 的 账户 过 期 等 理 员 维护 账户 的 使 用 期 限 。 


1， 限 制 新 建 的 账户 的 登录 。 ,> 
例如 ， 打 开 要 设置 的 用 户 “l д бынан. 
fE ОК ар, n 52: 更 改 登录 名 , ТІНІ 


2， 限 制 账户 或 


在 图 4.1 所 示 六 了 选项 卡 中 ， 


对 话 框 ， 在 该 对 话 炮 下 可 以 设置 允许 如 
许 登 录 的 时 | 默认 情况 下 账户 可 以 




















































































am 按钮 ， 打 开 用 户 的 【登录 时 段 】 
户 登 录 到 域 的 时 间 。 图 中 深 色 的 格子 代表 多 
: 意 的 时 间 内 登录 到 域 中 ， 如 图 4.2 所 示 。 




































可 到 
RA | Яя | AE | 远程 控制 | ARSE 
ЖЯ | 地址 ЖР |де | 电话 “| 单位 | 成 员 属于 
ЕРЕЖЕП: 
Rue 习 
APERE Windows 2000 以 前 版 本 ) W: 
FE ттт 
занаш. | жеар. = s E 
neS 人 ==] 
É E 
| | CRD 
ЖЕ ка ERW BHA 从 19 点 到 20 点 
图 4.1 【账户 】 选 项 卡 图 4.2 用 户 的 【登录 时 段 】 对 话 框 


单 击 要 设置 的 时 间 格 (一 格 代表 一 小 时 )， 也 可 以 拖 动 鼠标 一 次 选中 多 个 时 间 格 ， 然 后 


е 
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选中 【拒绝 登录 】 单 选 按钮 ， 使 这 段 时 间 成 为 禁止 登录 的 时 间 段 ， 白 色 格子 代表 拒绝 登录 。 
如 果 用 户 在 域 中 工作 的 时 间 超 过 设 定 的 【允许 登录 】 时 间 ， 并 不 会 断 开 与 域 的 连接 (登录 时 
间 只 是 限定 何 时 可 以 登录 到 域 中 )。 

3. 限制 登录 到 指定 的 计算 机 


在 图 4.1 所 示 的 【账户 】 选 项 卡 中 ， 单 击 【 登 录 到 】 按 钮 ， 打 开 【 登 录 工作 站 】 对 话 
ЖЕ, ШІН 43 所 示 ， 在 该 对 话 框 中 可 以 设置 允许 用 户 登 录 到 域 中 的 计算 机 ， 默 认 情况 下 所 
户 可 以 从 任何 一 台 域 中 的 计算 机 上 登录 到 域 。 

若 只 允许 登录 到 指定 的 计算 机 ， 可 选中 【下 列 计算 机 】 单 选 按钮 ， 然 后 在 【计算 机 名 】 文 
本 框 中 输入 允许 用 户 登 录 的 计算 机 名 ， 单 击 【 添 加 】 按钮 将 计算 机 加 入 到 计算 机 列表 中 。 如 果 
要 删除 某 台 允许 用 户 登 录 的 计算 机 ,只 需 在 列表 中 选中 相应 的 并 单 击 【删除 ] 按钮 即 可 。 
ее E 输 入 DNS 名 或 地址。 


4. 设置 账户 失效 期 
































































































































在 图 4.1 RR KAI А Ча, UEAN 选项 组 可 以 为 该 账户 设置 一 个 过 期 时 
间 。 默 认 情 况 下 账户 是 永久 有 效 的 ， 除 非 被 删除 。 如 果 企 业 中 有 临时 员工 并 且 和 希望 在 临时 
员工 离开 时 账户 自动 失效 ， Шар ақ 作 这 之 后 】 单 选 按钮 ， 然 后 打开 下 拉 列 表 ， 在 日 
历 中 选择 一 个 账户 的 失效 日 期 ， AA ZR o > 
小 到 
Ж Яя | аш | 远程 控制 | навет 
地 址 ЖР | 配置 文件 | 电话 | 单位 ВАЕ 
PN — 
km \ туос ж А = SGS 225 
HAPT / BPW... | зана. 
i Г APRO 
—— J г REP, TRR 
БЕН Баа 9 
Са) РШ 
= 
G EZE: |54 6 月 4 日 = 
— | em | те жа | вя | 
图 4.3 【登录 工作 站 】 对 话 框 图 4.4 设置 账户 失效 日 期 





这 个 功能 对 于 有 大 量 临时 员工 的 企业 来 讲 是 十 分 有 效 的 。 当 账户 使 用 期 超过 设 定 的 日 
期 ， 则 使 用 该 账户 将 不 能 登录 到 域 中 ， 而 不 需要 管理 员 手 动 删除 账户 。 同 登录 时 间 一 样 ， 
该 账户 将 只 拒绝 在 超过 到 日 期 之 后 的 登录 请 求 (如 果 一 直 登 录 在 域 中 而 没有 注销 ， 则 该 设置 
将 不 起 作用 )。 

5. 设置 密码 策略 


在 账户 策略 中 包含 了 【密码 策略 】 和 【账户 锁定 策略 】〗。【 密 码 策略 】 可 以 强制 用 户 的 
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密码 使 用 习惯 。【 账户 锁定 策略 】 可 以 防止 不 怀 好 意 的 人 使 用 穷 举 法 探测 本 机 的 密码 。 利 用 
账户 策略 的 方式 可 以 有 效 地 提高 计算 机 抵御 入 侵 的 能 力 。 
假设 要 求 用 户 使 用 的 密码 最 小 长 度 必 须 为 12 位 ， 则 在 【控制 面板 】 窗 口中 双击 【管理 工 
有 具 】 图 标 ， 在 打开 的 窗口 中 双击 【本 地 安全 设置 】 图 标 ， 在 【本 地 安全 设置 】 窗 口中 的 右 侧 
窗 格 中 选择 【密码 策略 】 选 项 后 在 右 侧 的 子 窗口 中 会 出 现 该 策略 的 策略 列表 , 如 图 4.5 所 示 ， 
在 其 中 可 以 设置 密码 长 度 最 小 值 。 
双击 【密码 长 度 最 小 值 】 选 项 ， 打 开 【 本 地 安全 策略 设置 】 对 话 框 ， 如 图 4.6 所 示 。 
在 【本 地 策略 设置 】 选 项 组 中 设置 要 求 的 密码 长 度 ， 然 后 单 击 【 确 定 】 按 钮 ， 结 束 操作 。 

























































































图 4.5 【密码 策略 】 列 表 











图 4.6 【本 地 安全 策略 设置 】 对 话 框 
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4.3 Windows Server 2003 文件 系统 安全 











Windows Server 2003 使 用 NTFS 文件 系统 ， 该 格式 是 基于 NTFS 分 区 实现 的 ， 支 持 
户 对 文件 的 访问 权限 ， 也 支持 对 文件 和 文件 夹 的 加 密 ， 因 而 具有 更 高 的 安全 性 。 本 节 将 介 
绍 NTFS 权限 及 实现 和 文件 加 密 。 


4.31 МТЕ5 权限 及 使 用 原则 


1. NTFS 权限 


Windows Server 2003 使 用 NTFS 文件 系统 , 该 结构 提供 据 文件 的 访问 控制 机 制 。 
NTFS 权限 是 基于 NTFS 分 区 来 实现 的 ，NTFS 权限 可 以 实现 调度 的 本 地 安全 性 。 通 过 对 用 
户 赋予 NTFS 权限 可 以 有 效 地 控制 用 户 对 文件 和 文人 Ін. ХЕ NTFS 分 区 上 的 每 一 个 
文件 和 文件 夹 都 有 一 个 列表 ， 被 称 为 ACL(Acce l List， 访 问 控制 列表 )， 该 列表 记 
录 了 每 一 个 用 户 和 组 对 该 资源 的 访问 权限 。 óL F NTFS 权限 具有 继承 性 ， 即 文件 
和 文件 夹 继 承 来 自 其 上 层 文件 夹 的 权限 @ 可 以 禁止 下 层 的 文件 和 文件 夹 继承 来 自 上 
层 文件 夹 的 权限 分 配 )。 

NTFS 权限 分 为 特殊 NTFS Е NTFS 权限 两 大 类 .标准 NTFS 权限 可 以 说 是 由 
特殊 NTFS 权限 的 特定 组 合 еды 在 各 种 情况 下 对 资源 的 访问 权 


展 ， 其 规定 约束 了 用 户 访 亲 颖 吴 的 所 有 行为 。 介 下 用 户 的 访问 行为 都 是 几 个 特定 
的 特殊 NTFS 人 合 。Windows SSeyer 


























































03 为 了 简化 管理 , 将 一 些 常用 的 NTFS 
权限 组 合 起 来 ， 半 foi КИЕ NTFS 权限 ， 当 需要 分 配 权限 时 可 以 通 
过 分 配 - J 人 多 个 特殊 NTFS 权限 的 目的 。 这 样 做 大 大 简化 
АЛЫ оаа, NTFS 权限 组 成 的 集合 ， 但 又 没有 标准 的 NTFS 权 
恨 提供 时 ， 可 以 通过 特殊 NTFS 权限 组 合 以 满足 要 求 。 

权限 、 资 源 和 账户 三 者 是 密 不 可 分 的 ， 只 能 说 给 某 账户 对 某 种 资源 的 某 种 权限 ， 而 不 
能 说 赋予 某 账户 某 种 权限 。 三 者 必须 合 在 一 起 说 才 有 意义 。 

其 中 “更 改 权限 ”这 种 权限 可 以 授权 给 用 户 ， 使 得 用 户 对 资源 没有 访问 的 权限 ， 但 可 
以 为 该 资源 分 配 权 限 。 一 般 情况 下 将 该 权限 授予 Administrators 组 ， 以 便 管 理 员 可 以 控制 资 
源 的 访问 权 。 

“取得 所 有 权 ” 这 种 权限 可 以 让 用 户 获 得 某 个 资源 的 所 有 权 ， 一般 情 况 下 文件 或 文件 夹 
的 创建 者 自动 获得 “取得 所 有 权 ” 权 限 。 为 了 获得 文件 或 文件 夹 的 所 有 权 ， 操 作者 必须 对 
该 资源 拥有 “完全 控制 ”权限 或 “取得 所 有 权 ” 权 限 这 一 特殊 NTFS 权限 。 

Administrators 组 的 成 员 总 是 可 以 获得 对 任何 资源 的 所 有 权 ， 而 不 管 该 组 的 成 员 是 否 被 
赋予 其 他 任何 权限 。 


2. NTFS 权限 的 使 用 原则 
一 个 用 户 可 能 属于 多 个 组 ， 而 这 些 组 又 有 可 能 对 某 种 资源 赋予 了 不 同 的 访问 权限 ， 另 


外 用 户 或 组 可 能 会 对 某 个 文件 夹 和 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 。 在 这 种 情况 下 就 
必须 通过 NTFS 权限 原则 来 判断 到 底 用 户 对 资源 有 何 种 访问 权限 。 
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1) 权限 最 大 原则 








当 一 个 























时 ， 用 户 对 该 资源 最 终 有 效 权限 是 在 这 些 组 中 最 
在 一 起 即 为 该 
2) 文件 权限 超越 文件 夹 权 限 原 则 





户 同时 属于 多 个 组 ， 而 这 些 组 又 有 可 能 被 对 某 种 资源 赋予 了 不 同 的 访问 权限 
宽松 的 权限 ， 即 加 权限 ， 将 所 有 的 权限 力 











户 的 权限 (“完全 控制 ”权限 为 所 有 权限 的 总 和 )。 

















户 访问 该 文件 























当 用 户 对 








当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 时 ， 用 户 对 文件 的 
户 被 赋予 访问 该 文件 的 权限 ， 即 文件 权限 超越 文件 的 上 级 文件 夹 的 权限 ， 
夹 下 的 文件 不 受 文件 夹 权限 的 限制 ， 而 只 受 被 赋予 的 文件 权限 的 限制 。 
3) 拒绝 权限 超越 其 他 权限 原则 





























只 有 拒绝 权限 是 有 效 的 。 当 有 拒绝 权限 时 权限 最 大 原则 





该 慎重 考虑 。 
在 Windo 


中 的 每 一 种 权限 都 有 两 个 状态 一 一 允许 和 拒 维 


A 
№? аа Н. 
mv. | 


将 超越 一 切 权 











某 个 资源 有 拒绝 权限 时 ， 该 权限 履 盖 其 他 任何 权限 ， 即 在 访问 该 资源 的 时 候 
是 有 效 的 。 当 有 拒 р 大 原则 无 效 ， 对 于 拒绝 权限 的 授予 应 







ws Server 2003 没有 一 种 权限 叫做 “ 

















Саая | 
47 每 一 种 权限 都 有 允许 和 拒绝 两 种 状态 





恨 。 如 果 用 户 对 某 种 资源 被 授予 了 “拒绝 ” MENTE 


:控制 ”权限 加 以 拒绝 意味 着 拒绝 一 切 访问 。 该 设置 是 NTFS 权限 中 最 严格 的 ， 









































E 访 问 该 资源 ， 系 统 将 


拒绝 其 对 该 资源 的 任何 操作 ,即使 是 管理 员 也 一 样 (但 是 管理 员 可 以 有 其 他 的 方法 来 访问 该 
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算 
户 是 否 属 于 某 个 组 。 假 如 用 户 
的 


区 被 格式 化 为 NTFS Z Ji, Windows Server 2003 系统 会 自动 将 Everyone 组 赋 
予 对 该 分 区 的 根 文件 夹 ( 即 根 目录 ) 的 完全 控制 权限 。Everyone 组 是 Windows Server 2003 中 
的 一 个 内 置 系统 组 ， 所 有 访问 资源 的 用 户 自动 成 为 Everyone 组 的 成 员 ,， 即 任何 访问 该 计 
机 的 用 户 都 会 成 为 该 计算 机 的 Everyone 组 的 成 员 ， 而 不 管 | 
Teacher 同时 属于 Groupl、Group2 和 Manager 这 3 个 组 ,对 于 资源 Data 文件 夹 分 别 具 有 的 
权限 见 表 4-1。 
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表 4-1 组 或 用 户 的 权限 














组 或 用 户 权限 
Teacher 完全 控制 
Group1 读 取 
Group2 写 入 
Manager 列 出 文件 夹 目录 

















在 这 个 例子 中 用 户 Teacher 对 Data 文件 夹 的 最 终 权限 为 “完全 控制 ” 因为 “完全 控制 ” 
是 这 些 权限 中 最 宽松 的 权限 。 假 设 在 本 例 中 Manager 组 对 Data 文件 夹 的 权限 为 “拒绝 ” 权 
限 ， 则 用 户 Teacher 对 Data 文件 夹 的 访问 将 是 被 拒绝 的 ， 因 为 拒绝 ”权限 覆盖 一 切 权限 ， 
即使 用 户 本 身 对 аа 文件 夹 被 赋予 了 “完全 控制 ”的 权 
还 是 基于 表 4-1， 如 果 用 户 对 Data 文件 夹 下 的 一 
限 ， 则 最 终 用 户 到 底 对 该 文件 是 什么 样 的 权限 ?给 
用 户 的 最 终 权限 为 “完全 控制 ”而 对 于 该 文 
据 “文件 权限 超越 文件 夹 权限 ”原则 ， 因 


授予 用 户 NTFS 权限 的 操作 Ж 
(1) 打开 Windows k бе ER IS Ri хе оиы 


teaching 文件 夹 为 例 )。 s 
(ау TEAMA ЦЕННИ ВАЗЕ URIEN 命令 ,打开 【teaching 属性 ] 
对 话 框 ， 如 图 4.8.7 Ж; 

O ПЭН ЕЕ, 如 图 4.9 AS VEVE EPI LAT F] Everyone 组 对 teaching 
жен EDRI mb, RER UNITARIA HZ Everyone 2142-6104: 
MERT ERREUR, TXARA FAK, RIE Everyone 组 对 该 分 区 下 的 所 有 文 
件 和 文件 夹 都 被 赋予 完全 控制 的 权限 。 
































File.doc 被 赋予 “ 读 取 ” 的 权 
i 应 所 有 的 权限 原则 ， 在 文件 夹 一 级 
文件 File.doc 的 权限 为 “ 读 取 ” 根 
该 文件 的 最 终 权 限 为 “ 读 取 ” 而 非 “ 完 




























































e = 
ты 文件 天 
tem. сл 
大 小 : 9 92 KB (10,160 7%) 
SASA: 160%: (6,34 FH) 权限 四: fu ”拒绝 
t. 2 个 文件 ，0 PIAR 口 
ва 口 
Bema: 。 2005 年 5 月 5 日 ，12 3655 读 取 及 运行 口 
列 出 文件 夹 目录 m 口 
тн граж) жаз». wm a oj 
r agw БА и оі 
жат. 
F 允许 格 未 自 父 系 的 可 继承 权限 传播 给 该 对 象 00) 
Сеа] жа | ана Der] ан ояе | 











图 4.8 [teaching 属性 】 对 话 框 图 4.9 【安全 】 选 项 卡 





БЕ 


(4) 单 击 【 添 加 】 按 钮 ， 打 开 【 选 择 用 户 、 计 算 机 或 组 】 对 话 框 。 在 上 半 部 的 用 户 和 
组 列表 中 选中 要 赋予 权限 的 用 户 或 组 ， 单 击 【 添 加 】 按 钮 ， 将 选 定 的 用 户 或 组 加 到 下 半音 
的 列表 中 (本 例 中 是 选择 liuhuapu 用 户 )， 如 图 4.10 所 示 。 选 定 后 ， 单 击 【确定 】 按 钮 返 匠 
[teaching 属性 】 对 话 框 。 
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EMA 检查 名 称 到 ) K 


(5) 在 【安全 】 选 项 卡 中 看 及 是 ЕДЫ. ІЛ ЕАС) NTFS 特殊 
MIN, яра ARN BES J МЕНЫН ХЕ, ШІН 4.11 所 示 。 
















读 职 及 运行 утя,туНаРруН 
жағы ЛНА, РХНАБЛЊ 














4.11 [teaching 的 访问 控制 设置 】 对 话 框 

(6) 在 【权限 项 目 】 列 表 框 中 选中 要 赋予 特殊 NTFS 权限 的 用 户 ， 再 单 击 【 查 看 /编辑 】 
按钮 ， 打 开 【teaching 的 权限 项 目 】 对 话 框 ， 如 图 4.12 所 示 。 

(7) 选中 【teaching 的 访问 控制 设置 】 对 话 框 底部 的 【允许 将 来 自 父 系 的 可 继承 权限 传 
播 给 该 对 象 】 复 选 框 ， 这 意味 着 这 个 文件 夹 可 以 继承 来 自 其 上 一 级 文件 夹 的 权限 设置 。 选 
中 【 重 置 所 有 子 对 象 的 权限 并 允许 传播 可 继承 权限 】 复 选 框 ， 这 意味 着 将 该 文件 夹 下 的 所 
有 子 文件 夹 和 文件 的 权限 取消 ， 并 重新 设置 成 与 其 父 文件 夹 一 致 的 权限 ( 即 强 制 用 父 文件 夹 
的 权限 替换 子 文件 夹 和 文件 的 权限 )， 如 图 4.13 所 示 。 
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(8) 在 【权限 】 列 表 中 可 以 选择 所 有 的 殊 权 限 ， 通 过 相应 的 组 合 为 用 户 赋予 符 


合 要 求 的 权限 。 & 
4.3.2 NTFS 权限 的 继承 性 


在 同一 个 NTFS naile 司 的 NTFS path 该 


文件 或 文件 夹 的 Faa a 
1. 在 同一 个 并 从 区 内 移动 广 % 


在 同一 分 动 的 实质 就 是 在 о ЧИРИМ “ 搬 ” 过 来 ， 因 
此 文件 和 文件 夹 仍然 保留 有 在 原 位 置 的 一 切 NTFS 权限 (准确 地 讲 就 是 该 文件 或 文件 夹 的 权 
限 不 变 )。 

2， 在 不 同 NTFS 分 区 之 间 移 动 文件 或 文件 夹 

在 这 种 情况 下 文件 和 文件 夹 会 继承 目的 分 区 中 文件 夹 的 权限 (ACL)， 实 质 就 是 在 原 位 
置 删除 该 文件 或 文件 夹 ， 并 在 目的 位 置 新 建 该 文件 或 文件 夹 。 要 从 NTFS 分 区 中 移动 文件 
或 文件 夹 ， 操 作者 必须 具有 相应 的 权限 。 在 原 位 置 上 必须 有 “修改 ”的 权限 ， 在 目的 位 置 
上 必须 有 “ 写 ” 权 限 。 

3. 在 同一 个 NTEFS 分 区 内 复制 文件 或 文件 夹 

在 这 种 情况 下 复制 文件 和 文件 夹 将 继承 目的 位 置 中 的 文件 夹 的 权限 。 

4. 在 不 同 NTFS 分 区 之 间 复 制 文件 或 文件 夹 

在 这 种 情况 下 复制 文件 和 文件 夹 将 继承 目的 位 置 中 文件 夹 的 权限 。 当 从 NTFS 分 区 向 
БАТ 分 区 中 复制 或 移动 文件 和 文件 夹 都 将 导致 文件 和 文件 夹 的 权限 丢失 ， 因 为 FAT 分 
支持 NTFS 权限 。 


图 4.12 [teaching 的 权限 项 目 】 对 话 框 ы teaching 的 访问 控制 设置 】 对 话 框 
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433 ”共享 文件 夹 权限 管理 
1. 共享 文件 夹 





























的 文件 ， 但 用 户 需要 拥有 访问 共享 文件 夹 的 权限 。 
2. 共享 文件 夹 的 权限 
































以 对 共享 文件 夹 内 的 文件 夹 作出 改动 。 
O 修改 权限 ， 用 户 可 以 创建 文件 夹 、 向 文件 夹 中 添 
文件 中 添加 数据 、 改 变 文件 属性 、 删 除 文件 夹 和 文件 、 
(З) 完全 控制 权限 : 用 户 可 以 改变 文件 权限 、 

许 的 所 有 任务 。 

3， 共 享 文件 夹 权限 特点 ж 

共享 文件 夹 权限 用 于 文件 夹 而 

Еж, ЖЕЛДЕ 
ТЕТЕ ІК 
о 
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к жен >, 


434 文件 


的 文件 。 共 享 文件 


默认 的 共享 - 限 是 完全 控 нж ИА Everyone 组 上 。 
ж 











共享 文件 夹 用 来 向 网 络 用 户 提供 对 文件 资源 的 访问 ， 可 以 包括 应 用 程序 、 公 用 数据 或 
户 个 人 数据 。 当 一 个 文件 夹 被 共享 时 ， 用 户 可 通过 网 络 连接 到 该 文件 夹 并 访问 其 中 包含 











(D) 读 权限 : 用 户 可 以 显示 文件 夹 名 称 、 文 件 名 、 文 件 属性 ， 可 以 运行 程序 文件 ， 可 






改变 文件 中 的 数据 、 向 


读 权 限 允 许 的 操作 。 
件 的 所 有 权 ， 并 执行 修改 权限 允 


KARR HEH TESIEN 


对 存储 共享 文件 夹 的 计算 机 上 

















在 We a Server 2003 的 NTFS 文件 系统 中 内 置 了 EFS( 加 密 文件 系统 )， 利 用 EFS 可 
对 保存 在 硬盘 上 的 文件 进行 加 密 , 其 加 密 与 解密 过 程 对 应 用 程序 和 用 户 而 言 是 完全 透明 的 。 
文件 或 文件 夹 被 加 密 后 ， 未 经 许可 对 加 密 文件 或 文件 夹 进行 物理 访问 的 入 侵 者 将 无 法 阅读 





这 些 文件 或 文件 夹 中 的 内 容 。 





通过 将 要 加 密 的 文件 置 于 一 个 文件 夹 中 ， 再 对 该 文件 夹 加 密 ， 可 以 一 次 加 密 大 量 的 文 


件 。 在 该 文件 夹 下 创建 的 所 有 文件 和 子 文件 夹 都 会 被 加 密 。 
L 加密 文件 和 文件 夹 


具体 操作 过 程 如 下 。 
(D) 在 资源 管理 器 中 ， 选 中 要 加 密 的 文件 或 文件 夹 ， 本 例 


为 “flash”。 





(2) 在 选 定 的 文件 或 文件 夹 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 【属性 】 命 令 ， 打 开 文 


件 或 文件 夹 属性 对 话 框 。 





(3) 单 击 【高 级 】 按 钮 ， 打 开 【 高 级 属性 】 对 话 框 ， 选 中 【加 密 内 容 以 便 保 护 数据 】 








复 选 框 ， 如 图 4.14 所 示 ， 单 击 【确定 】 按 钮 。 


(4) fE [flash 属性 】 对 话 框 中 单 击 【 应 用 】 按 钮 ， 弹 出 【确认 属性 更 改 】 对 话 框 。 若 
选中 【 仅 将 更 改 应 用 于 该 文件 夹 】 单 选 按钮 ， 则 将 只 加 密 选择 的 文件 夹 以 及 添加 到 这 一 文 
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件 夹 下 的 任何 文件 和 文件 夹 中 的 数据 ; 若 选中 【将 更 改 应 用 于 该 文件 夹 、 子 文件 夹 和 文件 】 
单 选 按钮 ， 则 将 加 密 所 有 加 入 该 文件 夹 下 的 文件 和 文件 夹 及 子 文 件 夹 下 的 数据 ， 如 图 4.15 
所 示 。 
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图 4.14 【高 级 属性 】 对 话 框 х 4.15 【确认 属性 更 改 】 对 话 框 

mi 5-7, 

2. 解密 文件 和 文件 夫 

当 一 个 用 户 对 一 个 文件 或 文件 湛 庙 密 时 кез 人 对 公 钥 和 私 钥 。 利 用 这 
个 私 钥 可 以 完成 对 文件 解密 jla ， 即 该 私 钥 只 属于 进行 加 密 操作 
的 用 户 ， 其 他 用 户 的 秘 加 是 无 法 解密 该 文件 

плут НЫЕ y 2: 得 到 了 文件 的 所 有 权 也 无 法 将 文件 解密 ， 
因此 加 密 后 被 共享 使 用 。 KA 








若 由 于 某 归 凉 因 对 文件 加 密 的 用 户 不 存在 了 ， 将 导致 文件 无 法 解密 。EFS 使 用 经 过 加 密 
的 数据 恢复 代理 (Encrypted Data Recovery Agenb 来 解密 数据 。 经 过 加 密 的 数据 恢复 代理 功能 
可 以 整合 到 域 的 组 策略 中 ， 因 此 可 以 针对 整个 域 来 设置 数据 恢复 代理 。 


4.4 Windows Server 2003 安全 策略 


Windows Server 2003 主机 安全 是 针对 单个 主机 设置 的 安全 规则 ， 用 来 保护 计算 机 上 的 
重要 数据 。 本 节 将 详细 讨论 主机 安全 管理 。 
Windows Server 2003 安全 策略 定义 了 用 户 在 使 用 计算 机 、 和 运行 应 用 程序 和 访问 网 络 等 
面 的 行为 ， 通 过 这 些 约束 避免 了 各 种 对 网 络 安全 的 有 意 或 无 意 伤害 。 安 全 策略 是 一 个 事 
定义 好 的 一 系列 应 用 计算 机 的 行为 准则 , 应 用 这 些 安全 策略 将 使 用 户 有 一 致 的 工作 方式 ， 
防止 用 户 破坏 计算 机 上 的 各 种 重要 配置 ， 保 护 网 络 上 的 敏感 数据 。 
在 Windows Server 2003 中 安全 策略 是 以 本 地 安全 设置 和 组 策略 两 种 形式 出 现 的 。 本 地 
安全 设置 是 基于 单个 计算 机 的 安全 性 而 设置 的 。 对 于 较 小 的 企业 或 组 织 ， 或 者 在 网 络 中 没 
有 应 用 活动 目录 的 网 络 (基于 工作 组 模式 )， 适 用 本 地 安全 设置 。 而 组 策略 可 以 在 站 点 、 组 
织 单元 或 域 的 范围 内 实现 ， 通 常 在 较 大 规模 并 且 实 施 了 活动 目录 的 网 络 中 应 用 。 
%: 
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. 实施 本 地 安全 设置 
本 地 安全 设置 只 能 在 不 属于 某 个 域 的 计算 机 上 实现 ， 其 














P 可 设 定 的 值 较 少 ， 对 用 户 的 





约束 也 较 少 。 如 果 要 在 整个 网 络 中 约束 用 户 使 用 计算 机 的 行为 ， 则 必须 在 每 一 个 计算 机 上 


实施 本 地 安全 设置 。 本 地 安全 设置 包括 账户 策略 、 本 地 策略 、 公 钥 策略 和 卫 安全 策略 。 
1) 账户 策略 


该 策略 包含 【密码 策略 】 和 【账户 锁定 策略 ]。【 密 码 策略 】 用 














户 的 密码 设置 ， 如 密码 最 小 长 








可 Lb 

















强制 用 户 的 密码 使 用 习惯 ， 如 图 4.16 所 示 。 


|қ жағ | 和 + Omege 











来 规范 使 用 这 台 计 算 机 


度 、 密 码 复杂 性 要 求 、 强 制 密码 历史 等 ， 通 过 这 些 设置 
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账户 ， 并 维持 一 段 时 间 ， 如 图 4.17 所 示 。 
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图 4.17 【账户 锁定 策略 】 设 置 
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2) 本 地 策略 

本 地 策略 中 包含 了 【审核 策略 】、【 用 户 权利 指派 】 和 【安全 选项 】3 个 选项 。 

【审核 策略 】 选 项 中 包含 了 对 系统 行为 的 审核 设置 ,确定 哪些 系统 事件 要 求 审核 而 哪些 
不 用 。 审 核发 生 的 事件 应 按照 预先 设 定 的 方式 记录 下 来 以 供 检查 和 分 析 。 至 于 审核 的 事件 





























是 哪些 ， 则 由 审核 策略 来 确定 ， 如 图 4.18 所 示 。 


mo sw || 和 э | ја х 5109 
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安全 设置 


























2А 图 4.18 ka 设置 
【用 户 权 алгинин 统 工作 (如 备份 文件 和 目录 、 关 闭 系统 等 ) 的 
执行 权力 交 络 藉 岩 ° EELA nT DL fi ue ЕТШІ 如 图 4.19 所 示 。 
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图 4.19 【用 户 权 利 指派 】 设 置 


E o 


【安全 选项 】 选 项 中 包含 了 很 多 用 于 加 强 系统 各 个 方面 安全 性 的 设置 ， 如 图 4.20 所 示 。 
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图 4.20 【 


з) 公 钥 策略 > қ 
公 钥 策略 用 来 设置 “加 密 恢 复 代 K TFS 5.0 具有 EFS ІЗ МІНЕ, EFS 加 密 是 利 
用 非 对 称 加 密 体 系 ( 即 公 钥 私 钥 允 0 密 ， 而 私 钥 的 持 有 人 为 使 用 EFS 加 密 文件 的 用 
P'o NTFS 依靠 该 用 户 的 SID 3 СЯ. 所 被 删除 ， 则 即使 是 新 建 一 个 一 
模 一 样 的 用 户 账户 ， 由 于 3 \ 同 ， 也 无 法 1 密 的 数据 。 利 用 公 钥 策略 可 以 设 
置 经 过 加 密 的 数据 恢复 然 理 ， 通 过 该 代理 恢复 光 图 4.21 所 示 。 
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84.21 公 钥 策略 设置 





4) IP 安全 策略 

ІР 安全 策略 用 来 设置 IPSec， 利 用 IPSec 可 以 为 两 台 使 用 IP 协议 传输 数据 的 计算 机 建 
立 一 个 加 密 的 安全 通信 通道 , 从 而 保证 数据 在 网 络 上 传输 的 安全 性 .IPSec 加 密 传输 的 数据 ， 
配置 和 管理 可 以 在 IP 安全 策略 中 进行 ， 如 图 4.22 所 示 。 
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ПИСТЕ |е + mm 18 (9 ЕЗ 
ЕТ 2 
安全 设置 


天 安全 概 务 器 (要 求 安 ..…。 HTAA PER, SEE. 是 
进行 正 党 和 读 没 有 加 客 ).。 ж 

ж 
= 


























图 4.22 Sè 
2， 配 置 并 实施 组 策略 қ 


1) 组 策略 




















在 Windows Server 2003.10) KP, HA ant 选项 ， 而 只 有 【组 策 
选项 。 该 工具 的 主要 作用 蛙 规定 用 户 和 计 使 用 环境 。 组 策略 不 仅 应 用 于 用 户 和 
端 计算 机 ， 还 应 服务 器 、 域 控 人 管理 范围 内 的 其 他 计算 机 。 

组 策略 设置 统管 理 员 需 户 桌 面 环境 的 各 种 组 件 。 要 为 特定 用 户 组 
特殊 的 rd 组 策略 对 象 又 与 选 定 的 
目录 对 象 检 关 联 。 

组 策略 包括 以 下 两 个 部 分 。 

(1) 用 户 配 置 策略 ， 指 定 对 应 于 某 个 用 户 账户 的 策略 ， 这 样 不 论 该 账户 在 域内 哪个 计 
上 登录 ， 其 工作 环境 都 是 一 样 的 。 














(2) 计算 机 配置 策略 ， 是 指定 对 某 台 计算 机 的 策略 ， 这 样 不 论 哪个 账户 在 该 计算 机 上 
， 其 工作 环境 都 是 一 样 的 。 

2) 组 策略 的 使 用 条 件 

为 了 通过 一 次 设 定 就 可 以 在 多 台 计 算 机 上 应 用 ， 需 要 实施 组 策略 。 组 策略 的 各 种 设 定 
存在 一 个 被 称 为 组 策略 对 象 (GPO，Group Policy Object) 中 。 在 实施 组 策略 前 应 该 满足 
的 条 件 。 

(1) 组 策略 只 能 应 用 在 基于 Windows Server 2003 的 域 控 制 器 的 网 络 中 的 计算 机 和 
组 策略 中 的 各 种 设 定 值 均 保存 在 活动 目录 的 数据 库 中 ， 因 此 只 有 在 域 控制 器 上 可 以 保 
ЖИН. 
(2) 组 策略 的 约束 对 象 是 活动 目录 中 的 计算 机 和 用 户 ， 不 包括 活动 目录 中 的 其 他 对 象 ， 
享 文件 夹 、 打 印 机 等 。 

(3) 组 策略 只 能 应 用 到 基于 Windows Server 2003 的 计算 机 ， 基 于 Windows 9x 和 

































































Windows NT 的 计算 机 不 能 应 用 Windows Server 2003 组 策略 。 
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本 地 安全 设置 拥有 的 功能 比 组 策略 要 少 得 多 ， 并 且 应 用 范围 有 限 ， 故 在 基于 Windows 
Server 2003 的 网 络 中 以 应 用 组 策略 为 主 。 

3) 组 策略 的 使 用 规则 

当 多 个 策略 同时 存在 时 ， 将 按 如 下 策略 应 用 。 首 先是 本 地 策略 ， 其 次 是 站 点 和 域 级 的 
策略 ， 再 次 是 应 用 组 织 单元 的 设 定 值 。 策 略 的 有 效 值 是 多 个 策略 的 并 集 ， 但 当 对 于 一 个 项 
目 有 不 同 的 设置 值 时 ， 后 面 的 将 代替 前 面 的 设置 值 。 
在 默认 情况 下 活动 目录 结构 中 的 下 层 容器 会 继承 上 层 容器 的 策略 。 最 上 层 容器 为 站 点 ， 
其 下 为 域 和 组 织 单位 。 
如 果 有 特殊 需要 ， 可 以 阻止 下 层 的 容器 继承 上 层 容 器 的 策略 ， 而 独立 地 应 用 自己 的 各 
项 策略 ， 该 项 设置 被 称 为 “组 织 策略 继承 ”如果 希望 对 于 某 余 GPO 的 设 定 从 某 一 级 开始 
向 下 都 必须 应 用 该 级 的 设 定 值 ， 则 需要 使 用 被 称 为 “禁止 二 А 
Windows Server 2003 刚刚 建立 好 时 ， 域 中 默认 有 Se 人 MGPO， 称 为 默认 域 策略 。 每 个 
GPO 都 具有 计算 机 配置 和 用 户 配置 两 个 部 分 ， 乡 HE GPO 作用 范围 内 的 计算 机 和 用 
户 上 。 计 算 机 启动 之 后 , 系统 会 自动 到 域 的 活 砂 本 录 中 寻找 适用 于 本 机 的 GPO 的 计算 机 配 
置 部 分 。 当 用 户 在 域 中 登录 之 后 ， 系 统 也 会 汉 滔 动 目录 中 寻找 适用 于 该 用 户 GPO 的 用 户 策 
略 部 分 。 

如 果 在 域 中 设置 了 过 多 的 G 
GPO， 这 样 就 会 增加 用 户 或 

提示 :活动 目录 中 的 经 


ник қ» 


3. 使 用 预定 

q. 2003 中 包含 了 多 个 分 别 适用 于 不 同安 全 需求 的 安全 性 模板 ， 利用 这 些 
模板 网 络 管理 人 员 就 可 以 简化 策略 的 设 定 和 实施 操作 。 预 定义 的 安全 性 模板 通常 包含 了 大 
多 数 的 安全 设 定 ， 但 同时 管理 人 员 也 可 以 按照 需要 继续 配置 以 适应 一 个 具体 网 络 的 需要 。 

预定 义 的 安全 模板 包括 以 下 4 种 安全 级 别 的 模板 。 

1) 基本 (Basic) 

该 级 别 的 模板 为 Windows Server 2003 定义 的 默认 的 安全 级 别 ， 可 以 用 作 基 础 配置 。 
中 包括 默认 的 工作 站 、 默 认 的 服务 器 、 默 认 的 域 控制 器 , 可 以 在 \systemroot\security\templates 
文件 夹 中 找到 这 几 个 模板 。 

2) 兼容 (Compatible) 

提供 比 基 本 模板 更 高 的 安全 级 别 ， 但 仍然 兼容 标准 的 商用 
仍然 可 以 有 效 地 运行 ， 该 模板 为 兼容 工作 站 或 服务 器 模板 。 

3) 安全 (Secure) 

提供 多 种 安全 性 ， 安 全 性 被 视 为 重要 的 考虑 因素 。 这 种 模板 有 可 能 会 影响 到 一 些 商 用 
应 用 程序 的 某 些 功能 的 运行 。 其 中 包括 安全 的 工作 站 或 服务 器 、 安 全 的 域 控制 器 。 

4) 高 度 安全 (High) 

提供 预定 义 下 的 最 高 安全 性 。 安 全 性 被 视 为 首要 考虑 的 因素 ， 因 此 将 不 会 考虑 应 用 程 





























































































































统 可 能 会 花 很 多 的 时 间 来 寻找 和 确定 所 要 应 用 的 
录 及 启动 的 时 各 






































应 用 程序 的 所 有 功能 ， 使 之 










































































序 是 否 会 受到 这 些 设 定 的 影响 。 在 通常 情况 下 这 类 模板 要 慎重 使 用 ， 包 括 高 安全 的 工作 站 
或 服务 器 、 高 安全 的 域 控制 器 。 
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审核 与 系统 相关 的 事件 ， 如 启动 和 关闭 计算 机 等 
审核 对 策略 的 改变 操作 

审核 用 户 使 用 用 户 权力 的 操作 ， 如 更 改 系统 时 间 等 
审核 账户 的 登录 与 注销 操作 
审核 与 账户 管理 有 关 的 操作 
审核 通过 网 络 建立 连接 访问 资源 的 操作 
审核 应 用 程序 的 启动 和 关闭 
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图 4.25 选择 审核 项 目 


4.5 Windows Server 2008 安全 创新 特性 


Windows Server 2008 操作 系统 ， 包 含 了 以 下 多 项 创新 的 安全 性 ， 协 助 保护 服务 器 基础 
架构 、 资 料 乃 至 企业 。 

І. 安全 配置 向 导 

安全 配置 向 导 (SCW，Security Configuration Wizard) 可 协助 系统 管理 员 为 已 部 署 的 服务 
器 角色 配置 操作 系统 ， 以 减少 攻击 表面 范围 ， 带 来 更 稳固 与 更 安全 的 服务 器 环境 。 
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2， 整 合式 扩展 的 组 策略 
整合 式 扩展 的 组 策略 (EGP，Expanded Group Policy) 能 够 更 有 效率 地 建立 和 管理 “组 策 
略 (Group Policy)”， 也 可 扩大 策略 安全 管理 所 涵盖 的 范围 。 
3. 网 络 访问 保护 
络 访问 保护 (NAP, Network Access Protection) 可 确保 网 络 和 系统 运作 , 不 会 被 健康 状 
况 不 佳 的 计算 机 影响 ， 并 隔离 及 /或 修补 不 符合 所 设 定安 全 性 原则 的 计算 机 。 
4. 用 户 账户 控制 
户 账户 控制 (UAC，User Account йе” 验证 架构 ， 防 范 恶意 软件 。 


5. 新 版 密码 学 编译 接口 
新 版 密码 学 编译 接口 (CNG，Cryptography wd Microsoft 创新 的 核心 密 


码 编译 的 API, 由 于 具备 了 更 好 的 加 密 弹 性 ， А 李密 码 编译 标准 并 可 供 客 户 自 订 密 
























































码 编译 演算 法 ， 同 时 也 可 更 有 效率 地 建立 、 储 全 和 濒 取 密 码 金 钥 。 


6， 只 读 网 域 控制 站 9 
只 读 网 域 控制 站 (RODC, Ке omain Controller) 可 提供 更 安全 的 方法 , 利用 主要 
AD 数据 库 的 只 读 复 本 ， 为 适 W EARE, 


7， 活 动 目录 协同 服务 ” ҳўл. 
活动 目录 协同 (ADFS, Active Direc ederation Services) 利 用 在 不 同 网 络 上 执行 
的 不 同 身份 识别 和 访问 目 录 ， ечеи ya 更 易于 建立 信任 的 合作 关系 ， 而 且 仅 需 安全 
的 单一 登入 (SS 动作 ， 便 可 进入 彼此 的 网 络 。 

8， 活 动 目录 认证 服务 

活动 目录 认证 服务 (ADCS，Active Directory Certificate Services) 具 有 多 项 Windows 
Server 2008 公开 金 钥 基础 结构 (PKD 的 强化 功能 ， 包 括 监控 凭证 授权 单位 (Certification 
Authorities，CAs) 健 康 状况 不 佳 的 PKIView， 以 及 以 更 安全 的 全 新 СОМ 控制 取代 ActiveX, 
为 Web 注册 认证 。 

9. 活动 目录 权限 管理 服务 

活动 目录 权限 管理 服务 (ADRMS，Active Directory Rights Management Services) 与 支持 
RMS 的 应 用 服务 ， 可 协助 管理 员 更 轻松 地 保护 公司 的 数据 信息 ， 并 防范 未 经 授权 的 用 户 。 

10. 位 锁 驱 动 加 密 

位 锁 驱动 加 密 (BDE，BitLocker Drive Encryption) 可 提供 增强 的 保护 措施 ， 以 避免 在 服 
务 器 硬件 遗失 或 遭 窃 时 ， 资 料 被 盗 取 或 外 泄 ， 并 且 在 更 换 服 务 器 时 ， 更 安全 地 删除 资料 。 

限于 篇 幅 ， 以 下 仅 以 安全 配置 向 导 、 网 络 访问 保护 和 高 级 安全 Windows 防火 墙 为 例 介 
绍 Windows Server 2008 安全 创新 特性 。 
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45Л 安全 配置 向 导 


安全 配置 向 导 (SCW) 可 以 用 于 快速 完成 创建 、 编 辑 、 应 用 或 回 滚 安全 策略 的 操作 ， 如 
图 4.26 所 示 。 
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2 Windows бере 还 包含 了 更 多 服务 器 角色 配置 和 安全 设 

置 ， 可 以 执 me x 

(1) харап 角色 禁用 不 需要 的 

(2) 删除 未 使 用 的 防火 墙 规则 和 约束 现 有 防火 墙 规则 。 

(3) 定义 受 限 审核 策略 。 

(4) 将 策略 应 用 到 一 个 或 多 个 服务 器 。 

(5) 回 滚 策略 。 

(6) 在 多 台 服 务 器 上 分 析 和 查看 SCW 策略 , 包括 可 以 显示 服务 器 配置 中 的 任何 差异 的 
遵从 性 报告 。 

将 SCW 策略 转换 为 组 策略 对 象 (GPO)， 以 便 通过 使 用 Active Directory 域 服务 (ADDS) 
进行 集中 部 署 和 管理 。 

安全 配置 向 导 (SCW) 的 启动 方式 是 :选择 【开始 】| 【管理 工具 】| 【安全 配置 向 导 】 命 
令 ， 或 选择 【开始 】| 【搜索 】 命 令 ， 在 【搜索 结果 】 窗 口中 输入 scw.exe。 


4.52 ”网 络 访问 保护 


网 络 访问 保护 (NAP) 是 Windows Server 2008 和 Windows Vista 操作 系统 附带 的 一 组 新 的 
操作 系统 组 件 ， 它 提供 一 个 平台 以 帮助 确保 专用 网 络 上 的 客户 端 计算 机 符合 管理 员 定义 的 系 
统 健康 要 求 。NAP 策略 为 客户 端 计算 机 的 操作 系统 和 关键 软件 定义 所 需 的 配置 和 更 新 状态 。 
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例如 ， 可 能 要 求 计算 机 安装 具有 最 新 签名 的 防 病毒 软件 ， 安 装 当前 操作 系统 的 更 新 并 且 启用 
基于 主机 的 防火 墙 。 通 过 强制 符合 健康 要 求 , NAP 可 以 帮助 网 络 管理 员 降 低 因 客户 端 计算 机 
配置 不 当 所 导致 的 一 些 风险 ， 这 些 不 当 配置 可 使 计算 机 暴露 给 病毒 和 其 他 恶意 软件 。 
Windows Server 2008 和 Windows Vista 操作 系统 附带 Windows 安全 健康 代理 和 
Windows 安全 健康 验证 程序 , 它们 对 支持 NAP 的 计算 机 强制 实施 以 下 设置 , 如 图 4.27 所 示 。 
(1) 客户 端 计算 机 已 安装 并 启用 了 防火 墙 软件 。 
(2) 客户 端 计算 机 已 安装 并 且 正 在 运行 防 病毒 软件 。 
(3) 客户 端 计算 机 已 安装 最 新 的 防 病毒 更 新 。 
(4) 客户 端 计 算 机 已 安装 并 且 正 在 运行 反 间谍 软件 。 
(5) 客户 端 计 算 机 已 安装 最 新 的 反 间 谍 更 新 。 
(6) 已 在 客户 端 计算 机 上 启用 Microsoft Update х 
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图 4.27 [Windows 安全 健康 验证 程序 】 对 话 框 


NAP 强制 设置 和 网 络 限 制 可 以 将 NAP 配置 为 拒绝 不 符合 要 求 的 客户 端 计 算 机 访问 网 
络 或 只 允许 它们 访问 受 限 网 络 。 受 限 网 络 应 包含 主要 МАР 服务 ， 如 健康 注册 机 构 (HRA) 服 
务 器 和 更 新 服务 器 ， 以 便 不 符合 要 求 的 NAP 客户 端 可 以 更 新 其 配置 以 符合 健康 要 求 。 
NAP 强制 设置 允许 限制 不 符合 要 求 的 客户 端的 网 络 访问 ,或 者 仅 观察 和 记录 支持 NAP 
的 客户 端 计算 机 的 健康 状态 。 

户 可 以 使 用 以 下 设置 选择 限制 访问 、 推 迟 访问 限制 或 允许 访问 。 

(1) “允许 完全 网 络 访问 ”。 这 是 默认 设置 。 此 选项 认为 与 策略 条 件 匹配 的 客户 端 符合 
网 络 健康 要 求 ， 并 授予 这 些 客户 端 对 网 络 的 无 限制 的 访问 权限 (如 果 连 接 请 求 经 过 身份 验证 
和 授权 )。 并 且 记 录 支 持 NAP 的 客户 端 计算 机 的 健康 符合 状态 。 

(2) “允许 有 限时 间 内 的 完全 网 络 访问 ”。 此 选项 会 临时 授予 与 策略 条 件 匹配 的 客户 端 
无 限制 的 访问 权限 。 将 NAP 强制 延迟 到 指定 的 日 期 和 时 间 。 
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(3) “允许 有 限 的 访问 ”。 此 选项 认为 与 策略 条 件 匹 配 的 客户 端 计 算 机 不 符合 网 络 健康 
要 求 ， 并 将 其 置 于 受 限 网 络 上 。 

NPS 服务 器 是 执行 NAP 的 一 个 策略 服务 器 ， 默 认 安 装 的 Windows Server 2008 没有 
NPS， 需 要 手动 安装 。 安 装 步骤 是 : 选择 【开始 】|【 管 理工 具 】|【 服 务 器 管理 器 】 命 令 ， 
在 打开 的 窗口 中 选择 【角色 】|【 添 加 角色 】 命 令 ， 在 弹出 的 对 话 框 中 选择 【网 络 策略 和 访 
问 服务 】 选 项 ， 如 图 4.28 所 示 。 


























网 络 策略 和 访问 服务 






xO ! 428 络 策略 和 访问 服务 
4.5.3 ”高 级 安全 Windows 防火 墙 


从 Windows Vista 和 Windows Server 2008 操作 系统 开始 ，Windows 防火 墙 和 Internet 
协议 安全 性 (IPSec) 便 组 合成 一 个 工具 ， 即 高 级 安全 Windows 防火 墙 Microsoft 管理 控制 
台 (MMC) 管 理 单元 。 

高 级 安全 Windows 防火 墙 ММС 管理 单元 蔡 代 了 以 前 的 两 个 IPSec 管理 单元 , 即 IP 安 
全 策略 和 了 P 安全 监视 器 , 以 用 于 配置 运行 Windows Vista 和 Windows Server 2008 的 计算 机 。 
以 前 的 IPSec 管理 单元 仍然 包含 在 Windows 中 ， 用 于 管理 运行 Windows Server 2003. 
Windows ХР 或 Windows 2000 操作 系统 的 客户 端 计算 机 .尽管 运 行 Windows Vista 和 Windows 
Server 2008 的 计算 机 也 可 以 使 用 以 前 的 IPSec 管理 单元 进行 配置 和 监视 , 但 不 能 使 用 旧 有 工 
具 来 配置 Windows Vista 和 Windows Server 2008 中 引入 的 许多 新 功能 和 安全 选项 。 若 要 利 
这 些 新 功能 ,就 必须 使 用 高 级 安全 Windows 防火 墙 管理 单元 或 在 Netsh 工具 的 advfirewall 
上 下 文中 使 用 命令 设置 。 

高 级 安全 Windows 防火 墙 在 运行 Windows Vista 或 Windows Server 2008 的 计算 机 上 提 
供 了 入 站 规则 和 出 站 规则 的 定义 ， 以 筛选 进入 或 离开 计算 机 的 所 有 ІР 版 本 A(IPv4)#l IP JK 
本 6 (Pv6) 流 量 ， 如 图 4.29 所 示 。 
































第 4 章 操作 系统 安全 














= 
жә [z BE 
























专用 配置 文件 

9 тімез АВА» 
O іхнае. 
O ASANTE ER. 
公用 配置 文件 是 活动 的 
9% тиек PIEZEN. 
© тізнтғтатлман- 








图 4.29 BAXE 
默认 情况 下 ， 阻 止 所 有 传 入 流 盛 是 对 计算 机 请 求 的 流量 ) 以 前 的 传 出 请 求 的 响 
应 ， 或 者 被 创建 用 于 允许 该 流 基 的 规则 特别 允许 。3 况 下 ， 人 允许 所 有 传 出 流量 ， 但 阻 
止 标 准 服务 以 异常 方式 进 征 通 闹 的 服务 强化 规 见 。 用 户 可 以 根据 端口 号 、IPv4 或 IPv6 
地 址 、 计 算 机 上 和 运行 的 咸 用 程序 的 名 称 和 路 各 的 名 称 , 或 者 其 他 条 件 选 择 允 许 流量 。 
通过 使 用 IPSec<s 执 议 验证 网 络 流量 牌 完整 性 、 对 发 送 和 接收 计算 机 或 用 户 的 身份 进行 
身份 验证 以 了 地 加 密 流量 以 提供 帕 黎 性 ， 从 而 保护 进入 或 离开 计算 机 的 网 络 流量 。 





高 级 安全 Windows 防火 墙 的 启动 方式 : 选择 【开始 】 民 管理 工具 】 民 高 级 安全 Windows 
防火 墙 】 命 令 。 
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计算 机 系统 的 核心 是 操作 系统 ， 操 作 系统 的 安全 直接 决定 着 信息 系统 的 安全 。 因 此 
和 否 开放 源 代 码 对 于 操作 系统 是 否 安全 这 一 点 在 业界 有 不 同 的 看 法 。 但 有 一 点 可 以 肯定 ， 
放 源 代码 有 利于 迅速 地 对 缺乏 安全 性 的 代码 进行 及 时 修改 , 以 达到 安全 要 求 。Linux 的 开 
性 可 以 通过 修改 系统 源 代码 ， 结 合 现 有 的 系统 安全 技术 以 及 加 密 算法 ， 构 建 一 个 安全 的 
Linux 操作 系统 。 


4.6.1 Linux 自身 的 安全 机 制 


Linux 自身 的 安全 机 制 主要 包括 以 下 几 方面 。 
(D 身份 识别 和 认证 。 身 份 识 别 和 认证 是 信息 系统 的 最 基本 要 求 。 一 般 的 Linux 系统 采 
户 名 和 密码 是 否 正确 的 形式 来 进行 身份 识别 和 认证 。 
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(2) 安全 的 审计 。Linux 有 审计 功能 , 对 用 户 、 进程 及 其 他 客体 行为 可 以 进行 跟踪 审计 。 
审计 信息 不 会 被 自 改 或 者 删除 ， 而 且 系统 能 够 对 敏感 操作 进行 记录 。 

(3) 访问 控制 。 在 Linux 系统 中 有 自主 访问 控制 及 强制 访问 控制 机 制 。 自 主 访问 控制 多 
许 系统 的 用 户 对 属于 自己 的 客体 ， 可 以 按照 自己 的 意愿 ， 允 许 或 者 禁止 其 他 用 户 访问 。 目 
前 Linux 提供 类 似 传统 Linux 系统 的 “ 属 主 用 户 / 同 组 用 户 /其 他 组 ”权限 保护 机 制 。 为 了 对 
户 信息 提供 更 好 的 保护 ， 系 统 应 能 够 为 用 户 提供 用 户 级 的 控制 力度 ， 使 自主 访问 控制 更 
接近 真实 的 情况 。 强 制 访问 控制 是 由 系统 管理 员 进 行 的 安全 访问 权限 设置 ， 提 供 了 比 自 主 
访问 控制 更 严格 的 访问 约束 。 

(4) 入 侵 防御 。Linux 本 身 就 包含 防火 墙 功能 ， 并 允许 用 户 进行 规则 配置 ， 这 样 能 够 有 


效 防范 源 地 址 为 非法 IP 的 外 部 数据 包 的 入 侵 。 

(5) 提供 安全 的 服务 和 应 用 。 例如 , Linux 支持 SSL құба». SSH. ІРбес 以 及 PGP 
的 邮件 程序 等 。 
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Linux RERI E ATLAS РА 的 多 用 户 、 多 任务 、 分 时 操作 系统 ,任何 
-个 想 使 用 Linux 的 用 户 ， 必 须 先 向 该 系统 网 管理 员 申 请 一 个 账户 ,然后 才能 使 用 该 系统 。 


同时 为 了 防止 非法 用 户 盗 用 昂 户 使 用 系统 ， 对 每 一 个 账户 还 必须 有 一 个 合法 用 
户 才 知 道 的 密码 。 因 此 ， 用 忆 帐 类 漳 密 码 是 系统 安 5- 道 防线 ， 借 助 于 账户 和 密码 就 


可 以 把 非法 用 户 拒 之 门 外 介绍 Linux 操作 绽 统 从 染 认 证 机 制 、 密 码 文件 和 密码 安全 。 






















































































1. Linux 登录 Y 
Linux А i 用 户 提供 正确 的 账户 和 密码 后 ， 系 统 才 
能 确 ена, 通过 终端 登录 Linux 操作 系统 的 过 程 可 描述 如 下 。 

(1) init 进程 确保 为 每 个 终端 连接 (或 虚拟 终端 ) 运 行 一 个 getty 程序 。 

(2) getty 监听 对 应 的 终端 并 等 待 用 户 登录 。 

(3) getty 输出 一 条 欢迎 信息 (保存 在 /etc/issue 中 )， 并 提示 用 户 输入 用 户 名 ， 最 后 运行 
login 程序 。 

(4) login 以 用 户 作为 参数 ， 提 示 用 户 输入 密码 。 

(5) 如 果 用 户 名 和 密码 相 匹配 ， 则 login 程序 为 该 用 户 启动 shell: FW, login 程序 退 
出 ， 进 程 终 止 。 

(6) init 进程 注意 到 login 进程 已 终止 ， 则 会 再 次 为 该 终端 启动 getty 程序 。 

当 用户 输 入 密码 时 ，Linux 使 用 改进 的 DES 算法 (通过 调用 crypt( ) 函 数 实现 ) 对 其 加 密 ， 
并 将 结果 与 密码 文件 (存储 在 /etc/passwd) 中 的 加 密 用 户 密码 进行 比较 , 若 两 者 匹配 ， 则 说 明 
户 的 登录 合法 ,否则 拒绝 用 户 登 录 。 另外， 系统 也 可 以 如 此 设置 : 如 果 用 户 3 次 登录 都 失败 ， 
则 系统 自动 锁定 ， 不 让 用 户 再 继续 登录 。 这 也 是 Linux 防止 入 侵 者 野蛮 冯 入 的 一 种 方法 。 

2. Linux 的 密码 文件 


Linux 密码 文件 /etc/passwd 是 登录 验证 的 关键 , 在 这 个 文件 中 保存 着 系统 中 所 有 用 户 及 
其 相关 信息 , 所 以 密码 文件 是 Linux 安全 的 关键 文件 之 一 。 这 个 文件 的 拥有 者 是 超级 用 户 
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(root)， 只 有 超级 用 户 才 有 写 的 权利 ， 而 一 般 用 户 只 有 读 的 权利 。 下 面 是 一 个 /etc/passwd 文件 
的 例子 。 


#cat/etc/passwd 
Root:%hy#hgbWE4:0:0::/:/bin/ksh 








userl: Eh6bSre7h:150:101:yinshaoping:/home/adm:/bin/sh 


这 个 文件 是 一 个 典型 的 数据 库 文件 ， 每 一 行 都 对 应 一 个 用 户 的 身份 验证 信息 ， 每 一 行 
分 为 7 个 字段 ， 各 字段 间 用 冒号 (: ) 分 隔 ， 从 左 到 右 ， 各 字段 的 含义 分 别 如 下 。 
(1) 登录 名 。 也 就 是 用 户 账户 ， 其 长 度 一 般 不 超过 9 个 字符 。 
(2) 加 密 密 码 。 因 为 普通 用 户 对 /etc/passwd W 7 所 以 密码 这 一 项 是 以 加 


























(3) 用 户 标识 号 (User ID，UID)。 在 系统 外 部 ， 系 乡 
在 系统 内 部 处 理 用 户 的 访问 权限 时 ， 系 统 使 用 的 识 号 。 这 个 用 户 标识 号 是 一 个 整 
数 ， 范 围 是 0 一 32767。 2. ， 普 通用 户 标识 号 一 般 从 10 开始 向 
上 分 配 。 另 外 在 用 户 的 进程 表 中 有 一 项 是 NR 号 ， 它 表明 哪个 用 户 拥有 这 个 进程 ， 并 
根据 用 户 的 权限 来 限制 这 个 进程 的 使 R 

(4) 组 标识 (Group ID, СІ). 组 标 济 是 用 户 所 在 组 的 标识 号 。 将 用 户 分 组 是 Linux 操作 系 
统 对 权限 进行 管理 的 一 种 方式 bh 作 系统 要 给 用 访问 权限 ， 则 可 以 对 几 个 组 进行 
权限 分 配 ,然后 让 一 个 用 户 上 ас. 2с. 以 避免 每 次 单独 给 用 户 分 配 权 
给 管理 带 来 很 大 的 方便 >XS 困 户 标识 号 一 样 ， 组 标 诬 号 也 是 一 个 0—32767 之 间 的 整数 。 

(5) 登录 名 。 字段 用 于 记录 所 情况 ， 如 用 户 的 全 名 、 电 话 和 地 址 等 。 在 
， 此 字段 一 般 条 描 述 性 的 文字 。 
录 位 置 。 这 个 字段 用 来 指定 用 户 的 home 目录 ， 当 用 户 登录 到 系统 
它 就 会 处 在 这 个 目录 下 。 

(7) 用 户 的 命令 行 解释 器 (shel))。Linux 操作 系统 中 有 很 多 的 shell 程序 ， 如 /bin/sh、 
/bin/chs、/bin/ksh 等 程序 ， 每 种 shell 有 各 自 不 同 的 特点 ， 此 字段 指定 用 户 登录 后 所 采用 的 
shell。 密 码 文件 中 ， 尽 管 密码 字段 (第 二 个 字段 ) 是 被 加 密 保存 的 , 但 由 于 /etc/passwd 文件 对 
任何 用 户 都 可 读 ， 故 它 常常 成 为 密码 攻击 的 目标 ， 所 以 许多 Linux 操作 系统 常用 shadow X 
件 (/etc/shadow) 来 存储 加 密 密 码 ， 该 文件 只 有 root 用 户 才能 读 取 ， 普 通用 户 不 可 读 。 
在 大 型 的 分 布 式 系统 中 ， 为 了 统一 对 用 户 管理 ， 通 常 将 每 一 台 工 作 站 上 的 密码 文件 都 
存放 在 网 络 服务 器 (Network Information Services，NIS) 上 ， 通 过 NIS 进行 集中 管理 。 


4.6.3 Linux 的 文件 访问 控制 


Linux 操作 系统 的 资源 访问 控制 是 基于 文件 的 。 在 Linux 操作 系统 中 , 各 种 主要 硬件 设 

备 、 端 口 设备 ， 甚 至 内 存 都 是 以 文件 形式 存在 的 ， 所 有 连接 到 系统 上 的 设备 都 在 /dev 目录 
22 
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个 用 户 账户 标识 一 个 用 户 。 但 
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中 有 一 个 文件 与 之 对 应 ， 如 文件 /dewmem 是 系统 的 内 存 。 虽 然 这些 设 备 文件 和 普通 磁盘 
件 在 实现 上 不 同 ， 但 对 于 系统 来 说 ， 它 们 都 是 一 个 文件 ， 因 此 ， 在 Linux 操作 系统 中 对 
源 的 访问 控制 就 是 对 文件 进行 的 访问 控制 。 
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1. 文件 (或 目录 ) 访 问 控制 
Linux 的 文件 访问 控制 表现 为 一 组 存 取 控制 规则 ， 它 控制 每 个 用 户 可 以 访问 何 种 信息 及 如 
何 访问 。 为 了 维护 系统 的 安全 性 ， 系 统 中 每 一 个 文件 (或 目录 ) 都 具有 一 定 的 存 取 权 限 ， 只 有 具 
有 这 种 存 取 权 限 的 用 户 才能 存 取 该 文件 ， 否 则 系统 将 给 出 “Permission Denied” 的 错误 信息 。 
命令 1 可 列 出 文件 (或 目录 ) 对 系统 内 的 不 同 用 户 所 给 予 的 存 取 权限 。 下 面 是 使 用 ls-1 
命令 得 到 的 一 行 输出 结果 。 
=rw-r-r-— 1 root root 1397 Mar 7 10: 20 passwd 


图 4.30 给 出 了 文件 存 取 权 限 的 图 形 解释 。 


- |rwx [r- x|--- % 
k Ін 







































































4.30 J 
存 取 权限 位 共有 9 位 ， нба 不 同类 型 的 用 户 对 该 文件 的 访问 权限 。 权 


限 有 以 下 3 种 。 ХА» 
(1) r: 允许 读 。 >Z x 
(2) w: 允许 写 。 ҳ- 5 
(3) х: 允许 
用 FRONI 型 。 ж 
(1) owner: 八 该 文件 的 属 主 。 
(2) group: 在 该 文件 所 属 用 户 组 中 的 用 户 ， 即 同 组 用 户 。 
(3) other: 除 以 上 两 者 外 的 其 他 用 户 。 
ІҢ 4.30 表示 文件 的 属 主 具 有 读 、 写 及 执行 (rwx) 权 限 ， 同 组 用 户 允 许 读 和 执行 操作 ， 
他 用 户 没有 任何 权限 。 权 限 位 中 ,“-” 表 示 相 应 的 存 取 权限 不 允许 。 
上 述 的 授权 模式 同样 适应 于 目录 ， 用 15-1 命令 列 出 时 ， 目 录 文 件 的 类 型 为 d。 用 ls 命 
令 列 目录 要 有 读 许可 ， 在 目录 中 增删 文件 要 有 写 许 可 ， 进 入 目录 或 将 该 目录 作 路径 分 量 时 
要 有 执行 许可 。 因 此 要 使 用 一 个 文件 时 ， 文 件 的 许可 才 开 始 起 作用 ， 而 rm. шу 只 需要 有 
目录 的 搜索 和 写 许 可 ， 不 需要 文件 的 许可 ， 这 一 点 应 尤其 注意 。 
2 更改 权限 


户 可 以 使 用 chmod 命令 更 改 文件 (或 目录 ) 的 权限 ，chmod 命令 以 新 权限 和 文件 名 为 

参数 ， 格 式 如 下 : 
chmod [-Rfh] 存 取 权限 ”文件 名 

chmod 命令 也 有 其 他 方式 的 参数 修改 权限 ， 在 此 不 再 多 讲 ， 可 参考 Linux 操作 系统 的 

联机 手册 。 合 理 的 文件 授权 可 防止 偶然 地 覆盖 或 删除 文件 (即便 是 属 主 自己 )。 改 变 文件 属 
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主 和 组 名 可 用 chown 和 chgrp 命令 ， 其 格式 分 别 如 下 : 

chown [-Rfh] ЕЕ 文件 名 

chgrp [-Rfh] 组 名 文件 名 

文件 的 授予 权限 可 用 3 位 的 八进制 数 表示 ，3 位 的 八进制 数 可 由 图 4.30 所 示 的 3 组 权 

限 具 体 表示 ， 授 予 权限 是 许可 位 置 为 1， 不 授予 权限 则 相应 位 置 为 0， 如 上 例 rwxr-x- 一 表 
示 为 111 101 000，3 位 八进制 数 为 750。 对 于 某 些 特殊 文件 (如 一 些 可 执行 文件 )， 文 件 的 授 
权 用 一 个 4 位 的 八进制 数 表示 , 后 3 位 同上 , 最 高 的 一 个 八进制 数 分 别 对 应 SUID 位 、SGID 
位 和 sticky 位 。 其 中 前 两 个 与 安全 有 关 ， 将 其 作为 特殊 权限 位 在 下 面 描述 。 

。 特殊 权限 位 


有 时 没有 被 授权 的 用 户 需 要 完成 某 些 要 求 授权 的 任务 бза, 程序 ， 对 于 普通 所 
户 ， 它 允许 改变 自身 的 密码 ， ҚЫ 件 的 权力 ， 以 防止 改变 其 
他 用 户 的 密码 。 为 了 解决 这 个 问题 ，Linux 允许 对 目标 文件 (只 有 可 执行 文件 才 有 
意义 ) 设 置 SUID 或 SGID。 
-个 进程 执行 时 就 被 赋予 4 个 编号 уы бүйте 分 别 为 实际 的 和 有 效 的 
Я 用 于 系统 确定 进程 对 于 文件 的 存 取 许可 。 
用 户 的 权限 ， 有 效 的 UID 和 GID 一 般 和 实际 的 
有 者 的 SUD 遂 嫩 将 改变 上 述 情况 。 当 设置 了 SUID 
时 ， 进 程 的 有 效 UID 为 该 ee 件 所 有 者 的 7 而 不 是 执行 该 程序 的 用 户 的 有 效 
UID。 因 此 ， 由 该 程序 程 都 有 与 该 各 + 相同 的 存 取 许 可 。 这 样 ， 程 序 的 所 
有 者 可 通过 控制 和 的 范围 内 向 月 55701 同样 ，SGID 也 
设置 为 有 效 едені u+s Б “chmod u-s 文件 名 ”用 来 设置 和 取消 SUID 
设置 。 命 令 hdd g+s 文件 名 ”和 “chinod g-s 文件 名 ”用 来 设置 和 取消 SGID 设置 。 当 
文件 设置 了 SUID 和 SGID 后 ，chown 和 chgrp 命令 将 全 部 取消 这 些许 可 。 









































































当 用 户 运行 一 
UID 和 GID 相同 。 而 设置 可 执 征 

















4.7 本 章 小 结 


本 章 简要 介绍 了 操作 系统 安全 性 的 意义 、 实 现 的 基本 目标 和 措施 ， 讲 述 了 Windows 
Server 2003 操作 系统 的 账户 安全 、 文 件 系统 安全 和 主机 安全 策略 的 配置 ， 介 绍 了 Windows 
Server 2008 创新 安全 新 特性 ，Linux 的 账户 安全 和 文件 访问 控制 。 


4.8 本 章 实 训 


实 训 1: Windows Server 2003 活动 目录 与 域 控制 器 的 安装 

实 训 目的 

掌握 Windows Server 2003 系统 活动 目录 与 域 控制 器 的 安装 , 组 建 基于 Active Directory 
的 网 络 ， 实 现 网 络 资源 共享 和 统一 管理 。 





E o 


实 训 环境 











安装 Windows Server 2003 的 计算 机 ， 对 没有 专 


VMware Workstation 创建 虚拟 机 来 做 本 项 实 训 。 
实 训 内 容 
限于 篇 幅 在 此 省 略 ， 本 书 在 课程 资源 软件 中 会 给 
实 训 2: 组 策略 配置 
实 训 目 的 


在 Windows Server 2003 系统 中 ， 利 用 组 策略 来 管理 用 


实 训 环境 





实 训 内 容 


1. 新 建 对 象 2 











用 网 络 服务 器 实验 室 的 读者 ， 可 以 











出 详细 的 操作 过 程 截图 供 参考 。 





计算 机 ， 以 提高 安全 性 。 


安装 活动 目录 的 计算 机 ， NE network.com) 
— 


(1) É [Active Directory 用 户 和 Nm 对 话 框 中 右 击 要 操作 的 network.com， 在 出 现 
的 快捷 菜单 中 选择 【属性 Теў 


(2) 在 【network.com J 
(3) ah DHE] dà 


对 话 框 中 选择 












条 以 建立 te “网 络 学 








选项 卡 ， 如 图 4.31 所 示 。 
习 组 ” 如 图 4.32 所 示 。 










































1 ЕНЕ 
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PAPE 
элект тоже R niata. 列表 中 较 高 位 置 的 姐 第 路 对 象 具有 多 高 优先 级 
由 teseherIXJ. network con 获得 这 一 列表 由 teacherD network coa 02—97 
меш | Smo. | вес BEU sev | 添加 四 | ваш 237) 
Зло)... | mo... BEO PTW 这 项 @ | mo. MED Lea) 
T 阻止 策略 继承 Œ) Г 阻止 第 咯 继承 Ф) 
关闭 ай EAW 关闭 Жин FRW 











图 4.31 【组 策略 】 选 项 卡 


2. 使 用 组 策略 





(1) 在 出 现 图 4.33 所 示 的 【组 策略 】 窗 口中 ， 依 次 选择 左 侧 的 【网 络 学 习 组 】 


4.32 ”建立 组 策略 对 象 “网 络 学 习 组 ” 














户 





Bu] | [Windows 设置 】| [Internet Explorer 维护 】 选 项 ， 在 右 侧 窗 格 中 双击 URL 选项 。 
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ë Бі THEMA B Authenticode 
a D 管理 模板 ж ылас та 




















图 4.33 【组 
(2) 在 图 4.34 所 示 的 【重要 за 中 的 【主页 URL 】 文 本 框 中 输入 





图 4.34 【重要 URL】 对 话 框 


这 样 就 为 域 network.com 中 的 所 有 用 户 设置 了 用 户 登录 计算 机 后 IE 浏览 器 的 主页 为 
www.123.com。 

提示 : 从 本 实 训 中 可 以 看 出 组 策略 就 是 为 特定 的 域内 的 用 户 或 计算 机 指定 工作 环境 。 
活动 目录 中 的 组 策略 和 用 户 组 没有 任何 关系 ， 灵 活 使 用 组 策略 可 提高 对 用 户 或 计算 机 管理 
的 安全 性 。 


实 训 3: 文件 系统 安全 
实 训 目的 
熟练 掌握 Windows Server 2003 的 文件 及 目录 权限 设置 ， 能 够 管理 共享 目录 。 
实 训 环境 
装 有 Windows Server 2003 操作 系统 的 计算 机 。 





БЕ 


实 训 内 容 

1. 设置 访问 权限 

(1) 以 管理 员 身 份 登录 ， 建 立 一 个 名 为 test 的 用 户 ， 并 设置 其 密码 为 liuhuapu。 

(2) 从 系统 注销 ， 以 test 身份 登录 ， 依 次 选择 【开始 】|【 程 序 】|【 附 件 】|【 资 源 管理 
器 】 命 令 ， 创 建 一 个 名 为 ctet 的 目录 ， 并 创建 一 个 文本 文件 ， 本 例 中 为 “example.txt”。 

(3) 在 左 侧 窗 格 中 选中 要 设置 权限 的 c:\test 目录 ， 右 击 选 择 【 属 性 】 命令 , 在 出 现 的 对 
话 框 中 , 选择 【安全 】 选 项 卡 , 将 看 到 Everyone 组 具有 对 这 个 文件 的 完全 控制 权限 (Windows 
Server 2003 默认 为 任何 新 建 的 文件 或 目录 分 配 修改 权 ， 分 配给 Everyone 组 )。 

(4) 单 击 【 高 级 】 按 钮 ， 进 入 【用 户 权限 设置 】 对 话 框 。 在 该 对 话 框 中 ， 可 以 添加 和 
删除 一 个 或 多 个 用 户 及 用 户 组 对 所 选 目录 的 权限 ， 设 定 读 取 、 写 入 、 完 全 控制 、 
拒绝 访问 等 查看 该 文件 的 所 有 权限 (Everyone 组 具有 完 

(5) 以 管理 员 身份 登录 ， 打 开 eg 9 Everyone 组 的 【权限 设置 】 对 


话 框 ， 修 改 文件 权限 为 禁止 写 /禁止 修改 。 
(6) 单 击 【确定 】 按 钮 ， 会 看 到 - — K И ЖН п allow 条 目 ， 单 击 


【确定 】 按 钮 ， 返 回 资源 管理 器 。 
(7) 从 系统 注销 ， 以 test 身份 Kk 事 本 打开 c:\test\example.txt 文件 。 
u 


(8) 添加 一 行文 本 “syst to assign file ñeñmissions”, 
命令 ， 打 开 【 保 右 框 ， 会 看 到 错误 提示 。 
统 注 销 ， a istrator 身份 登录 。 






















































(9) 选择 【文件 】 Пу 

(10) нА СА 

(11) 打开 сл ample.txt 文件 的 组 的 权限 设置 对 话 框 ， 修 改 文件 的 权限 ， 
这 样 Admini Administrator 账户 是 Everyone 组 的 一 部 分 ， 它 
жаланы 写 权限 )， 单 击 【高 级 】 按 钮 。 

(12) 选择 С 选项 卡 ， 并 选中 【Administrator 账户 ])， 单 击 【 应 用 】 按 钮 ， 取 得 
文件 所 有 权 ， 返 回 资源 管理 器 。 

(13) 再 次 进入 该 文件 的 属性 ， 并 选择 【安全 】 选 项 卡 ， 这 次 不 会 看 到 警告 消息 ， 因 为 
已 拥有 该 文件 ， 可 任意 修改 ， 单 击 【添加 】 按 钮 。 

(14) 出 现 【 选 择 用 户 ， 计 算 机 或 组 】 对 话 框 ， 选 中 【用 户 账户 】 选 项 并 单 击 【 添 加 】 
按钮 ， 添 加 test 用 户 。 

(15) 确认 test 用 户 被 选中 ， 然 后 选中 【禁止 】 复 选 框 ， 修 改 它 的 访问 权 。 

(16) 单 击 【 应 用 】 按 钮 ， 然 后 单 击 【确定 】 按 钮 。 

(17) 注销 Administrator 账户 ， 以 test 账户 登录 ， 再 访问 ci\test\example.txt 文件 ， 看 能 
和 否 访问 。 再 以 其 他 用 户 身份 登录 ， 看 是 否 可 以 访问 。 

2. 管理 共享 资源 

1) 添加 新 的 共享 目录 

(1) 在 【服务 器 管理 器 】 对 话 框 中 ， 选 中 计算 机 名 ， 在 该 对 话 框 的 【计算 机 】 下 拉 列 
表 中 选择 【共享 目录 】 选 项 ， 弹 出 【共享 目录 】 对 话 框 。 
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(2) 在 【共享 目录 】 对 话 框 中 ， 单 击 【新 建 共享 】 按 钮 ， 弹 出 【新 建 共享 】 对 话 框 ， 
在 该 对 话 框 中 输入 共享 名 、 路 径 和 备注 等 信息 。 若 需 设置 允许 同时 连接 到 共享 目录 的 用 户 
数量 ， 可 在 【用 户 个 数 】 选 项 组 下 ， 对 【不 限制 】 和 【人 允许 】 单 选 按钮 作出 选择 。 

(3) 如 果 选 中 【允许 】 单 选 按钮 ， 需 在 【用 户 】 选 择 框 中 输入 指定 的 最 大 数量 。 若 需 
管理 组 和 用 户 的 权限 级 别 ， 需 在 该 窗口 中 ， 单 击 【权限 】 按 钮 。 

(4) 弹出 【通过 共享 访问 的 权限 】 对 话 框 ， 在 【通过 共享 访问 的 权限 】 对 话 框 中 进行 
设置 ， 然 后 单 击 【 确 定 】 按 钮 即 可 。 

2) 修改 共享 目录 

(1) 在 【服务 器 管理 器 】 对 话 框 中 ， 选 中 计算 机 名 ， 在 该 对 话 框 的 【计算 机 】 下 拉 列 
表 中 选择 【共享 目录 】 选 项 。 

(2) 弹出 【共享 目录 】 对 话 框 。 在 【共享 目录 】 Ф ETA 
单 击 【属性 】 按 钮 。 “Ха 

(3) 弹出 【共享 属性 】 对 话 框 。 若 要 更 改 路 4 
若 要 更 改 可 以 同时 连接 到 共享 目录 的 用 户 最 
中 进行 选择 。 如 果 选 中 【允许 】 单 选 按 银 \ XQ 


(D 要 管理 组 和 用 户 的 权限 级 别 ,K 

对 话 框 ， 修 改 权限 之 后 ， 单 击 【 ñ 
3) 设置 已 存在 共享 目 3 > 

话 框 中 ， рт. 在 该 对 话 框 的 【计算 机 】 下 拉克 


(D 在 【服务 器 管 ЕБ 
表 中 选择 【共享 目录 14% 
(2) Ж СА bla] 对 话 框 。 在 5 冉 录 】 对 话 框 中 ， 从 列表 中 选 定 共享 目录 名 ， 
单 击 【 属 性 】 ! yE 

(3) 弹出 〖 共 享 属性 】 对 话 框 。 单 击 【权限 】 按 钮 ， 弹 出 【通过 共享 访问 的 权限 】 对 
话 框 。 在 【通过 共享 访问 的 权限 】 对 话 框 中 可 更 改 下 列 设置 选项 。 

要 更 改 权 限 ， 从 【名 称 】 列 表 中 选 定 组 或 用 户 账户 ， 然 后 从 【访问 类 型 】 列 表 框 中 选 
择 权限 。 

要 将 组 或 用 户 账户 添加 到 共享 目录 的 权限 列表 中 ， 单 击 【 添 加 】 按 钮 ， 完 成 【 添 力 
户 或 组 】 要 从 共享 目录 的 权限 列表 中 删除 组 或 用 户 账户 , 在 【名 称 】 列 表 中 选择 组 或 用 户 ， 
然后 单 击 【删除 】 按 钮 。 

(4) 完成 更 改 后 ， 单 击 【 确 定 】 按 钮 。 

注意 : 指定 权限 时 ， 通 常 更 好 的 方法 是 将 权限 指定 给 组 ， 而 不 是 指定 给 单个 的 用 户 账 
户 。 除 目录 本 身 的 NTFS 权限 设置 外 , NTFS 的 共享 资源 的 权限 设置 将 单独 起 作用 。 在 NTFS 
卷 上 ， 共 享 权 限 指 定 可 能 进行 的 最 大 访问 ,而 目录 和 文件 的 权限 指定 允许 进行 的 最 大 访问 。 
对 于 NTFS 卷 ， 最 好 是 通过 管理 目录 和 文件 的 权限 设置 限制 访问 ， 而 不 是 管理 共享 的 权限 
设置 。 
4) 停止 已 存在 的 共享 目录 
(1) 在 【服务 器 管理 器 】 对 话 框 中 ， 选 中 计算 机 名 ， 在 该 对 话 框 的 【计算 机 】 下 拉 列 
表 中 选择 【共享 目录 】 选 项 。 
















































































， 需 在 文本 框 中 输入 新 的 文字 。 
在 【不 限制 】 或 【人 允许】 单 选 按钮 
在 其 右边 的 数字 列表 框 中 指定 该 最 大 数量 。 
权限 】 按 钮 ， 弹 出 【通过 共享 访问 的 权限 】 
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(2) 弹出 【共享 目录 】 对 话 框 。 在 【共享 目录 】 对 话 框 中 ， 从 列表 中 选 定 共享 目录 名 ， 





























单 击 【停止 共享 】 按 钮 ， 完 成 操作 。 应 说 明 的 是 目录 本 身 并 未 删除 ， 但 是 已 不 能 再 共享 和 
被 网 络 用 户 访问 。 

注意 : 在 大 部 分 情况 下 ， 不 应 该 选择 出 现在 列表 中 的 由 系统 创建 的 特殊 字符 串 的 共享 
£, #eA$. B$. C$. ADMINS. IPC$. PRINTS$#-. 

49 本 = 习题 

1， 填 空 题 

(1) Windows 2000 ww 2 ; 默认 建立 的 来 宾 账 户 
为 


(2) ERBIA 





(3) Windows 2000 中 的 组 策略 可 分 为 
(4) NTFS 权限 使 用 原则 有 


(5) 本 地 安全 策略 包括 EL 
2. 选择 题 x 
(1) 在 Windows бөле УДЫ) 建立 的 用 上 s Jo 


A. Supervisor Guest 

С. HelpAssištant D. Anonymous 
(2) Ш 法 人 不 正确 的 有 ( ЖҰ 
- 作 组 模式 的 服务 器 ; /本 地 用 户 账户 存储 在 服务 器 自身 的 SAM 中 

B. 工作 在 域 模式 的 服务 器 ， 用 户 账户 存储 在 域 控制 器 的 SAM 中 

с. 客户 机 加 入 域 后 ， 使 用 同一 账户 就 可 以 访问 加 入 域 的 成 员 服 务 器 

D. 客户 机 加 入 域 后 ， 需 要 使 用 不 同 的 账户 访问 加 入 域 的 成 员 服 务 器 
(3) 在 Windows Server 2003 中 “密码 最 长 使 用 期 限 ”策略 设置 的 含义 是 (  )。 

А. 用 户 更 改 密码 之 前 可 以 使 用 该 密码 的 时 间 

в. 用 户 更 改 密码 之 后 可 以 使 用 该 密码 的 时 间 

с. 用 户 可 以 使 用 密码 的 最 长 时 间 

D. 用 户 可 以 更 改 密码 的 最 长 时 间 
(4) 关于 “账户 锁定 阔 值 ”策略 的 含义 ， 说 法 正确 的 有 ( ”)。 

А. 用 户 账 户 被 锁定 的 登录 成 功 的 次 数 

B. 用 户 账户 被 锁定 的 登录 失败 尝试 的 次 数 

с. 用 户 账户 被 锁定 的 登录 成 功 尝试 的 次 数 

D. 用 户 账户 被 锁定 的 登录 的 总 次 数 
(5) Windows Server 2003“ 本 地 安全 策略 ” l )。 

А. 账户 策略 B. 组 策略 公 钥 策略 D. IP 安全 策略 






















































































第 4 章 操作 系统 安全 


3， 简 答题 

(1) 操作 系统 安全 包含 哪些 内 容 ? 

(2) 在 Windows Server 2003 中 移动 或 复制 文件 时 ， 权 限 有 什么 变化 ? 

(3) 保护 Windows Server 2003 文件 系统 的 安全 措施 有 哪些 ? 

(4) 如 何 审核 Windows Server 2003 的 主机 安全 事件 ? 

(5) 如 何在 Windows Server 2003 中 检查 用 户 密码 的 安全 强度 ? 

(6) zhangsan 同时 属于 boys 和 stu 组 ， 而 boys 组 和 stu 组 对 共享 文件 夹 share 的 NTFS 
权限 和 共享 权限 见 表 4-3。 


组 (用 户 ) 
权限 


共享 权限 














表 4-3 各 用 户 组 的 权限 












boys(zhangsan) A stu(zhangsan) 


a S= | 





更 改 











本 地 访问 权限 读 取 
试 回 答 以 下 问题 。 

@ zhangsan 从 网 络 访问 时 获 和 
@ zhangsan 从 本 地 访问 本 







是 什么 ? у 
a i 


第 





М язна х\- 
通过 对 本 章 的 学 习 ， 读 者 应 了 解 计 发 展 的 历史 和 病毒 的 发 展 趋势 ， 党 


所 病毒 的 定义 、 特 征 、 分 类 、 传 播 广 的 产生 机 理 等 。 
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51 计算 机 病毒 概述 











要 认识 病毒 ， 就 要 从 病毒 的 定义 、 分 类 、 特 性 和 传染 途径 等 各 个 方面 对 病毒 有 个 全 面 
的 了 解 。 














Fs 


5.1.1 计算 机 病毒 的 定义 


计算 机 病毒 是 一 个 程序 ， 一 段 可 执行 代码 。 像 生物 界 的 病毒 一 样 ， 计 算 机 病毒 有 很 强 
的 自我 复制 能 力 ， 计 算 机 病毒 可 以 很 快 地 蔓延 ， 但 又 很 难 被 发 现 和 根除 。 它 能 把 自身 附着 
在 各 种 类 型 的 文件 上 ， 当 文件 被 从 一 个 用 户 复制 传送 到 另 一 个 用 户 时， 它们 就 会 随同 文件 
-起 蔓延 。 

可 以 从 不 同 角 度 给 出 计算 机 病毒 的 定义 。 一 种 定义 是 能 够 实现 自身 复制 且 借 助 一 定 的 
载体 存在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 ， 还 有 一 种 定义 是 人 为 制造 的 程序 ， 它 通 
过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 存 ) 或 程序 里 ， 当 条 件 或 时 机 成 熟 时 ， 它 
会 自我 复制 并 传播 ， 使 计算 机 的 资源 受到 不 同 程度 的 破坏 , ЛАД 亢 毒 就 是 能 够 通过 
某 种 途径 潜伏 在 计算 机 存储 介质 或 程序 里 ， 当 达到 某 种 八条 时 即 被 激活 的 具有 对 计算 机 资 
源 进行 破坏 作用 的 一 组 程序 或 指令 集合 ， 计 1 制 能 力 的 计算 机 




























特洛伊 森马 (Trojan Horse) 是 一 币 
程序 中 存放 秘密 指令 ， 使 计 





ERRIA IRINA EER 


5.1.2 анажан 

Ж; Жаман, Отта 

(Т) 恶作剧 类 型 有 些 爱 好 计算 机 并 对 计算 机 技术 精通 的 人 士 为 了 炫耀 自己 的 高 超 技 
术 和 智慧 ， 和 凭借 对 软 / 硬 件 的 深入 了 解 ， 编 制 这 些 特殊 的 程序 。 这 些 程序 通过 载体 传播 出 去 
后 ， 在 一 定 条 件 下 被 触发 ， 其 目的 是 自我 表现 一 下 ， 这 类 病毒 一 般 都 是 良性 的 ， 不 会 有 破 
坏 操作 。 

(2) 报复 心理 型 有些 人 对 社会 不 满 或 受到 不 公正 的 待遇 ， 就 有 可 能 会 编制 一 些 危 险 
的 程序 。 例 如 ， 某 公司 职员 在 职 期 间 编制 了 一 段 代 码 隐藏 在 其 公司 的 系统 中 ， 一 旦 检测 到 
他 的 名 字 在 工资 报表 中 被 删除 ， 该 程序 立即 发 作 ， 破 坏 整个 系统 。 

(3) 版 权 保 护 类 型 : 由 于 很 多 商业 软件 被 非法 复制 ， 有 些 开 发 商 为 了 保护 自己 的 利益 
制作 了 一 些 特殊 程序 附加 在 产品 中 。 如 Pakistan 病毒 ， 其 制作 者 是 为 了 追踪 那些 非法 复制 
他 们 产品 的 用 户 。 

(4) 特殊 目的 类 型 ， 某 组 织 或 个 人 为 达到 特殊 目的 ， 对 政府 机 构 、 单 位 的 特殊 系统 进 
行 宣 传 或 破坏 ， 或 用 于 军事 目的 。 还 有 出 于 好 奇 ， 为 了 报复 ， 为 了 祝贺 ， 为 了 得 到 控制 密 
码 ， 为 了 未 拿 到 所 编制 软件 的 报酬 预 留 的 陷阱 等 原因 。 
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5.1.3 ”计算 机 病毒 的 特性 

通过 对 计算 机 病毒 的 综合 分 析 ， 病 毒 一 般 具 有 以 下 特性 。 

1. 计算 机 病毒 的 传染 性 

传染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 
被 感染 的 计算 机 ， 病 毒 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 就 会 搜寻 其 他 符合 其 传染 
条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 程序 插入 其 中 ， 达 到 自我 繁殖 的 目的 。 
正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 程序 强行 连接 到 其 他 程序 之 上 的 。 而 病毒 却 能 
使 自身 的 代码 程序 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 只 要 一 个 文 












































件 感染 病毒 ， 如 果 处 理 不 及 时 ， 病 毒 就 会 在 这 人 台 计 算 机 ， 导 致 更 多 的 文件 被 感 
染 。 而 被 感染 的 文件 又 成 为 新 的 传染 源 ， 再 与 其 他 计算 据 交换 或 通过 网 络 连接 时 ， 




















病毒 还 会 继续 进行 传染 。 5- 
2。 计 算 机 滴 毒 的 可 执行 性 SS- 
计算 机 病毒 与 其 他 程序 一 样 ， 是 一 段 骆 独行 程序 ， 但 它 并 不 完整 ， 而 是 寄生 在 其 他 可 

执行 程序 中 的 ， 因 此 它 享有 其 他 一 其 稳 每 外 能 得 到 的 权力 。 病 毒 运行 时 ， 与 合法 程序 争夺 


e 内 运行 时 ， 杰 具有 传染 性 和 破坏 性 。 也 就 是 说 程 
序 对 CPU 的 控制 权 是 关键 算 机 病毒 一 旦 在 -运行 ,在 同一 计算 机 内 病毒 程 











序 与 正常 系统 程序 之 间 病毒 与 其 他 病毒 熙 序 争 夺 系 统 控制 权时 往往 会 造成 系统 骨 
溃 ， 导 致 计算 机 毒 技术 就 是 要 提 刘 取得 计算 机 系统 的 控制 权 ， 识 别 出 计 算 机 病 





毒 的 代码 和 行为 取得 系统 控 宙 毒 技术 的 优 劣 主要 体现 在 这 一 点 上 。 
3. 计算 机 尊 沽 的 可 触发 性 2 








因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 为 了 
隐 珊 自己 ,病毒 必须 潜伏 ， 少 做 动作 。 如 果 完全 不 动 ， 一 直 潜伏 ， 病 毒 既 不 能 感染 也 不 能 
进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 那 么 它 必须 具有 可 触发 性 。 
病毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 频率 的 。 病 毒 具有 预定 的 触发 条 件 ， 这 些 条 
件 可 能 是 时 间 、 日 期 、 操 作 或 某 些 特定 数据 等 。 病 毒 运行 时 触发 机 制 检查 预定 条 件 是 否 满 
足 ， 如 果 满 足 ， 则 启动 感染 或 执行 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ;如 果 不 满 足 ， 则 病 
毒 继续 潜伏 。 

4. 计算 机 病毒 的 破坏 性 


任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 轻 者 会 降低 计 
算 机 的 工作 效率 ， 占 用 系统 资源 ， 可 导致 系统 崩溃 。 根 据 此 特性 ， 可 将 病毒 分 为 良性 
病毒 与 恶性 病毒 。 良 性 病毒 可 能 只 显示 画面 或 出 现 音乐 、 无 聊 的 语句 或 者 根本 没有 任何 破 
坏 动 作 ， 但 会 占用 系统 资源 ， 这 类 病毒 较 多 。 恶 性 病毒 则 有 明确 的 目的 ， 如 破坏 数据 、 删 
除 文件 或 加 密 磁盘 、 格 式 化 磁盘 ， 有 的 甚至 对 数据 造成 不 可 挽回 的 破坏 。 

计算 机 病毒 的 破坏 性 主要 取决 于 计算 机 病毒 设计 者 的 目的 ， 如 果 病 毒 设计 者 的 目的 在 
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于 彻底 破坏 系统 的 正常 运行 ， 那 么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 是 不 堪 设 
想 的 ， 它 可 以 毁 掉 系统 的 部 分 数据 ， 也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 。 但 是 并 非 所 有 
的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 。 但 有 时 几 种 原本 没有 多 大 破坏 作用 的 病毒 交叉 
感染 ， 也 会 导致 系统 崩溃 等 恶劣 的 影响 。 

5. 计算 机 病毒 的 非 授 权 性 

- 般 正 常 的 程序 先 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 交 给 的 任务 。 其 目的 
户 是 可 见 的、 透明 的 。 而 病毒 具有 正常 程序 的 一 切 权 限 ， 它 隐藏 在 正常 程序 中 ， 当 所 
调用 正常 程序 时 它 窃 取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 的 动作 、 目 的 对 用 户 
未 知 的 ， 是 未 经 用 户 允 许 的 。 病 毒 对 系统 的 攻击 是 主动 的 ， Wai 从 一 
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程度 上 讲 ， 计 算 机 系统 无 论 采取 多 么 严密 的 保护 措施 都 不 第 能 彻底 排除 病毒 对 系统 的 
击 ， 而 保护 措施 充其量 只 是 一 种 预防 的 手段 而 已 。 S 
6. 计算 机 病毒 的 隐藏 性 x 

病毒 一 般 是 具有 很 高 编程 技巧 ， 短 小 精 1 *。 通 常 附 在 正常 程序 中 或 磁盘 较 隐蔽 
的 地 方 ， 也 有 个 别 的 以 隐 含 文件 形式 出 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 代 
码 分 析 ， 病 毒 程序 与 正常 程序 是 不 窑 雏 区 和 Jf 来 的 。 一 般 在 没有 防护 措施 的 情况 下 ， 计 算 
机 dates he 短 的 时 间 里 感染 大 量程 序 。 而 且 受 到 传染 后 ， 计 
算 机 系统 通常 仍 能 正常 运行 ,1 用 г. 不 曾 在 计算 机 内 发 生 过 什么 。 






















但 是 如 果 病毒 在 传染 到 寺 算 手 4: 之 后 ， 计 算 机 世间 活 正 常 运行 ， 那 么 病毒 本 身 便 无 法 继 
续 进行 传染 了 。 

计算 机 病毒 ert dada 
度 是 极 快 的 NNS 自 不 具有 外 部 表现 ， 和 易 被 人 发 现 ， 二 是 病毒 程序 存在 的 隐蔽 性 ， 一 般 
病毒 程序 都 队 泪 在 正常 程序 之 中 ， 很 难 被 发 现 ， 而 一 旦 病毒 发 作出 来 ， 往 往 已 经 给 计算 
机 系统 造成 了 不 同 程度 的 破坏 。 被 病毒 感染 的 计算 机 在 多 数 情况 下 仍 能 维持 其 部 分 功能 ， 
不 会 由 于 一 感染 上 病毒 ， 整 台 计算 机 就 不 能 启动 了 或 者 某 个 程序 一 旦 被 病毒 所 感染 ， 它 
也 不 会 马上 停止 运行 。 计 算 机 病毒 设计 的 精巧 之 处 也 在 这 里 。 正 常 程序 被 计算 机 病毒 感染 
后 ， 其 原 有 功能 基本 上 不 受 影响 ， 病 毒 代码 程序 附 于 其 上 而 得 以 存活 ， 得 以 不 断 地 得 到 运 
行 的 机 会 ， 去 传染 更 多 的 文件 ， 与 正常 程序 争夺 系统 的 控制 权 和 磁 竹 空间 ， 不 断 地 破坏 系 
统 ， 导 致 整个 系统 的 瘫痪 。 


5.14 ”计算 机 病毒 感染 的 表现 


在 一 般 情况 下 ， 计 算 机 在 感染 病毒 后 总 有 一 些 异常 现象 出 现 ， 其 中 具有 代表 性 的 行为 
有 计算 机 的 动作 比 平常 迟钝 ， 程序 载 入 时 间 比 平时 长 ， 这 是 因为 有 些 病 毒 能 控制 程序 或 系 
统 的 启动 程序 ， 当 系统 刚 开始 启动 或 是 一 个 应 用 程序 被 载 入 时 ， 将 执行 这 些 病毒 ， 因 而 会 
花 更 多 时 间 来 载 入 程序 ， 对 一 个 简单 的 工作 ， 磁 盘 花 了 比 预期 长 的 时 间 ;， 不 寻常 的 错误 信 
息 出 现 ， 表 示 病 毒 已 经 试图 去 读 取 磁盘 并 感染 它 ， 特 别 是 当 这 种 信息 出 现 繁复 时 ; 硬盘 的 
指示 灯 无 缘 无 故地 闪 亮 ; 系统 内 存 忽 然 大 量 减少 ， 有 些 病毒 会 消耗 大 量 的 内 存 ， 曾 经 执行 
过 的 程序 ， 再 次 执行 时 ,突然 提示 没有 足够 的 空间 可 以 利用 ; 磁盘 可 利用 的 空间 突然 减少 ， 
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这 个 信息 表明 病毒 已 经 开始 复制 了 ; 可 执行 文件 的 大 小 改变 了 ， 正 常情 况 下 ， 这 些 程序 应 
该 维持 固定 的 大 小 ， 但 有 些 不 太 高 明 的 病毒 会 增加 程序 的 大 小 ; 坏 道 增加 ， 有 些 病毒 会 

某 些 磁道 标注 为 坏 道 ， 从 而 将 自己 隐藏 在 其 中 ， 于 是 扫 毒 软体 往往 也 无 法 检查 出 病毒 的 存 
ХЕ, MH Disk Killer 会 寻找 3 或 5 个 连续 未 用 的 磁 区 ， 并 将 其 标示 为 坏 道 ,内存 中 增加 来 路 
不 明 的 常 驻 程序 或 进程 ; 文件 奇怪 地 消失 ; 文件 的 内 容 被 加 进 一 些 奇怪 的 资料 ; 文件 名 称 、 
日 期 、 属 性 等 被 修改 等 。 






































52 ”病毒 实例 剖析 


剖析 病毒 案例 对 更 加 深入 地 认识 和 防范 病毒 是 必要 的 。 刻 涡 介 绍 病毒 历史 上 较为 典型 


的 两 种 不 同类 型 的 病毒 ，CIH 病毒 和 梅 勒 斯 病毒 。 & 


5.2.1 CIH 病毒 剖析 

CIH 病毒 属 文件 型 病毒 ， 其 别名 有 Wi 和 Spacefiller、Win32.CIH、PE_CIH， 它 
主要 感染 Windows 95/98 下 的 可 执行 文 作 ; 的 版 本 不 感染 DOS 以 及 Win 3.x 下 的 可 执 
行文 件 ， 在 Windows NT 中 无 效 。 Хинаят У1.0. УЛ. vl2, v1.3, vl4 总 共 5 
个 版 本 ， 目 前 最 流行 的 版 本 是 

在 CIH 的 相关 版 本 中 ， 的 破坏 性 ， 


2. »1.3. vAN 本 的 病 
其 中 v1.2 版 本 的 СІН УШ 日 期 为 每 年 的 4 ,这 也 就 是 当前 最 流行 的 病毒 版 本 ， 
年 的 6 月 26 PR 










版 本 v1.3 HRE E 1.4 的 发 作 日 期 则 被 修改 为 每 月 的 26 Н, 
这 一 改变 大 大 缩 P 

СІН RE 
其 发 作 特 征 如 下 。 

(1) 以 2048 个 扇 区 为 单位 ， 从 硬盘 主 引导 区 开始 依次 往 硬盘 中 写 入 垃圾 数据 ， 直 到 硬 
盘 数据 被 全 部 破坏 为 止 。 最 坏 的 情况 下 硬盘 所 有 数据 ( 含 全 部 逻辑 盘 数 据 ) 均 被 破坏 。 

(2) 某 些 主板 上 的 Flash КОМ 中 的 BIOS 信息 将 被 清除 。 

CIH 病毒 感染 的 原理 主要 是 使 用 Windows 的 VxD( 虚 拟 设备 驱动 程序 ) 编 程 方法 ， 使 
这 一 方法 的 目的 是 获取 高 的 CPU 权限 .CIH 病毒 使 用 的 方法 是 首先 使 用 SIDT 取得 IDT base 
address( 中 断 描述 符 表 基 地 址 )， 然 后 把 IDT 的 int 3 的 入 口 地 址 改 为 指向 СІН 自己 的 int 3 
程序 入 口 部 分 ， 再 利用 自己 产生 一 个 int 3 指令 运行 至 此 CIH 自身 的 int 3 入 口 程序 处 ， 这 
FÉ CIH 病毒 就 可 以 获得 最 高 级 别 的 权限 ， 接 着 病毒 将 检查 DRO 寄存 器 的 值 是 否 为 0， 用 以 
判断 先前 是 否 有 CIH 病毒 已 经 驻 留 。 如 果 DR0 的 值 不 为 0， 则 表示 CIH 病毒 程序 已 驻 留 ， 
则 此 CIH 副本 将 恢复 原先 的 int 3 入 口 ， 然 后 正常 退出 。 如 果 判 断 DR0 值 为 0， 则 СІН 病 
毒 将 尝试 进行 驻 留 ， 其 首先 将 当前 EBX 寄存 器 的 值 赋 给 DRO 寄存 器 ， 以 生成 驻 留 标记 ， 
然后 调用 int20 中 断 ， 使 用 VxD call Page Allocate 系统 调用 ， 要 求 分 配 Windows 系统 内 存 
(System Memory), Windows 系统 内 存 地 址 范围 为 C0000000h 一 FFFFFFFFh， 它 是 用 来 存放 
所 有 的 虚拟 驱动 程序 的 内 存 区 域 ， 如 果 程 序 想 长 期 驻 留 在 内 存 中 ， 则 必须 申请 到 此 区 段 内 
的 内 存 ， 即 申请 到 影射 地 址 空间 在 C0000000h 以 上 的 内 存 。 


:期 限 ， жаб ; 
B ARERR ЗИС ЕНСЕ, FIAT EIIE BIOS FEY, 
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如 果 内 存 申 请 成 功 ， 则 接着 将 从 被 感染 文件 中 将 原先 分 成 多 段 的 病毒 代码 收集 起 来 ， 并 进 
行 组 合 后 放 到 申请 到 的 内 存 空间 中 ， 完 成 组 合 、 放 置 过 程 后 ，CIH 病毒 将 再 次 调用 іш 3 中 断 进 
入 CIH 病 毒 体 的 int 3 入口 程序 ,接着 调用 int 20 来 完成 调用 一 个 IFSMgr InstallFileSystemApiHook 
的 子 程序 ， 用 来 在 文件 系统 处 理 函 数 中 挂 接 钧 子 ， 以 截取 文件 调用 的 操作 ， 接 着 修改 
IFSMgr InstallFileSystemApiHook 的 入 口 。 服 务 程序 的 入 口 地 址 将 被 保留 ， 以 便 CIH 病毒 调用 ， 
这 样 ， 一 旦 出 现 要 求 开启 文件 的 调用 ，CIH 将 在 第 一 时 间 截 获 此 文件 ， 并 判断 此 文件 是 否 为 PE 
格式 的 可 执行 文件 ， 如 果 是 ， 则 感染 ， 如 果 不 是 ， 则 放 过 去 ， 将 调用 转 接 给 正常 的 Windows 
IFSMgr IO 服务 程序 。CIH 不 会 重复 多 次 地 感染 PE 格式 文件 ， 同 时 可 执行 文件 的 只 读 属 性 是 否 
有 效 ， 不 影响 感染 过 程 ， 感 染 文件 后 ， 文 件 的 日 期 与 时 间 信息 将 保持 不 变 。 对 于 绝 大 多 数 的 PE 
程序 被 感染 后 ， 程 序 的 长 度 也 将 保持 不 变 ，CIH 将 会 把 自身 分 完 
成 驻 留 工作 后 的 CIH 病毒 将 把 原先 的 IDT 中 断 表 中 的 int 3 E 原样 。 


主板 Flash ROM 中 的 BIOS 程序 是 如 何 被 破坏 的 来 保存 PC BIOS 程序 的 
Flash ROM 包含 两 个 电压 接口 ， 其 中 +12V 一 般 


的 改写 ， Boot Block 为 一 特殊 
的 区 块 ， 它 主要 用 于 保存 一 个 最 小 的 BIOS， 最 基本 的 系统 。 当 Flash ROM 中 的 
其 他 区 块 内 的 数据 被 破坏 时 ， 只 要 ya 可 用 状态 ， 则 可 以 利用 这 一 
基本 的 PC BIOS 程序 来 启动 个 最 人 қ 统 ， 一 般 情 ; : 少 应 当 支 持 软盘 的 读 / 写 以 
及 键盘 2- ні 就 有 а ЖА. я Flash КОМ 中 的 数据 。 一 般 的 主板 
上 都 包含 有 一 个 专 Тұзақ” еле 给 此 rea 芯片 提供 +12V 电压 ， 只 有 需 
Flash ROM зр lock j құм 5 接 此 跳 线 ， 以 提供 +12V 电 
下 。 另 外 一 路 电压 эр ， 它 可 以 用 x HERES УТЕ, 同时 为 更 新 Flash ROM 中 非 Boot 
es к му 写 
主板 上 的 ТТ! me Ы. h КОМ 中 的 Boot Block 区 域 而 设置 的 ， 如 果 
ЖЛЕ BIOS, 4 4. 只 需要 更 新 Boot Block 区 域 以 外 的 BIOS 程序 ， 则 主板 上 的 
跳 线 根本 没 必要 去 跳 ， ENES Boot Block 区 域 以 外 的 数据 并 不 需要 +12V 电压 ， 这 样 ， 即 
使 升级 失败 ， 也 还 存在 着 一 个 Boot Block 中 的 最 基本 BIOS 可 以 使 用 ， 这 样 就 可 以 使 用 软 
盘 来 恢复 原先 的 BIOS 数据 。 
CIH 病毒 破坏 的 也 只 是 Flash ROM 中 的 BIOS 程序 ， 而 BIOS 程序 在 Flash ROM 中 只 
是 一 堆 电流 的 表现 ， 实 际 上 ， 即 使 出 现 最 坏 的 情况 ， 也 没有 任何 硬件 会 出 现 物理 损坏 ， 那 
块 Flash КОМ 中 也 只 是 信息 丢失 ， 并 不 代表 此 Flash КОМ 就 出 现 物 理 损坏 了 ， 如 果 拥 有 写 
入 器 ， 还 是 可 以 在 原先 的 Flash ROM 中 写 入 BIOS 程序 的 。 


5.2.2， 梅 勒 斯 病毒 剖析 


梅 勒 斯 是 一 个 木马 下 载 器 ， 可 以 从 恶意 站 点 下 载 其 他 木马 ， 并 在 被 感染 的 计算 机 上 
自动 运行 。 开 机 后 随 系统 自动 启动 并 运行 。 它 还 可 以 动 持 破坏 安全 软件 ， 使 其 终止 来 隐 
藏 自己 。 

梅 勒 斯 病毒 的 执行 过 程 如 下 。 
(1) 循环 测试 等 待 主机 连接 网 络 。 启 动 后 循环 调用 InternetGetConnectedState 函数 ， 直 
主机 系统 连接 了 Internet。 
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(2) 提升 权限 。 调 用 GetCurrentProcess、OpenProcessToken AdjustTokenPrivileges 等 函 
数 提升 自己 进程 的 权限 。 

(3) 结束 杀毒 软件 进程 。 调 用 CreateToolhelp32Snapshot、Process32First 等 函数 遍历 进 
程 ， 调 用 TerminateProcess 函数 关闭 进程 名 为 “杀毒 软件 ”的 进程 。 

(4) 复制 文件 并 建立 自动 运行 。 将 自己 复制 为 “%system%\sysbl.exe” 文 件 ， 并 建立 注 
册 表 键 自动 运行 。 

(5) 下 载 并 运行 文件 。 调用 URLDownloadToFileA、ShellExecuteA 函数 下 载 恶 意 站 点 的 
木马 文件 并 运行 。 

梅 勒 斯 病毒 的 预防 与 清除 方法 如 下 。 


= 

















(1) 安装 正版 安全 软件 。 

(2) 不 浏览 不 良 网 站 ， 不 随意 下 载 安装 可 疑 插件 。 Ж» 

(3) 不 接收 QQ. MSN. E-mail 等 传 来 的 可 疑 文人 eS 

(4) 上 网 时 打开 杀毒 软件 实时 监控 功能 。 
(5) 下 载 专 杀 工 具 ， 启 动 操作 系统 ， 进 

除 以 后 重启 ， 再 重新 扫描 系统 全 盘 。 ж 
梅 勒 斯 木马 下 载 器 还 有 几 百 种 变 А ам DL.Win32.Mnless.beD)， 可 以 通过 网 

页 挂 马 传播 ， Sp 黑客 指定 网 站 下 载 各 种 盗号 木马 病毒 到 用 户 计算 

机 上 并 运行 ， i 7. амы 


p 3 as 


病毒 有 威胁 ， Ss, a 不 小 心 感染 了 病毒 ， 怎 样 清除 ?怎样 减少 病 
毒 对 计算 机 的 危害 ? 首先 要 采取 的 措施 就 是 病毒 的 防范 ， 如 果真 的 感染 了 病毒 要 想 办 法 彻 
底 清除 。 


5.3.1 防范 病毒 


计算 机 病毒 防范 ， 是 指 通过 建立 合理 的 计算 机 病毒 防范 体系 和 制度 ， 及 时 发 现 计算 机 
病毒 的 侵入 ， 并 采取 有 效 的 手段 阻止 计算 机 病毒 的 传播 和 破坏 ， 恢 复 受 影响 的 计算 机 系统 
和 数据 。 

计算 机 病毒 的 防治 工作 从 宏观 上 讲 是 一 个 系统 工程 ， 需 要 全 社会 的 共同 努力 。 从 国家 
的 角度 来 说 ， 应 当 通 过 对 计算 机 病毒 的 系统 研究 ， 以 科学 、 严 谨 的 立法 和 严格 的 执法 来 打 
击 病毒 的 制造 者 和 蓄意 传播 者 ， 同 时 建立 专门 的 计算 机 病毒 防治 机 构 ， 从 政策 上 和 技术 上 
组 织 、 协 调和 指导 全 国 的 计算 机 病毒 防治 工作 。 从 各 级 单位 的 角度 来 说 ， 要 牢固 树立 以 防 
为 主 的 思想 ， 应 当 制 定 出 一 套 具体 的 、 切 实 可 行 的 管理 措施 ， 以 防止 病毒 的 相互 传播 ， 建 
立定 期 专项 培训 制度 ， 提 高 一 般 计 算 机 使 用 人 员 的 防 病毒 意识 。 从 个 人 的 角度 来 说 ， 每 个 
人 都 要 遵守 病毒 防治 的 有 关 措施 ， 应 当 不 断 学 习 、 积 累 防治 病毒 的 知识 和 经 验 ， 养 成 良好 
的 防治 病毒 习惯 ， 不 仅 不 要 成 为 病毒 的 制造 者 ， 而 且 也 不 要 成 为 病毒 的 传播 者 。 













， 然 后 断 网 进行 全 盘 扫 描 ， 最 后 清 
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具体 来 说 每 个 单位 、 每 个 用 户 ， 一 定 要 遵守 以 下 规则 。 重 要 部 门 的 计算 机 ， 一 定 要 做 
到 专机 专用 ， 必 须 配 备 杀毒 软件 ， 并 及 时 升级 ， 留 意 有 关 的 安全 信息 ， 及 时 获取 并 打 好 系 
统 的 补丁 ; 至 少 保证 经 常备 份 文件 并 杀毒 一 次 ; 对 于 一 切 外 来 的 文件 载体 (不 论 软 盘 、 光 盘 、 
U 盘 、 移 动人 硬盘， 包括 网 络 上 的 共享 文件 夹 ) 均 要 先 查 病毒 、 后 使 用 一旦 遭 到 大 规模 的 病 
毒 攻击 ， 应 立即 采取 隔离 措施 ， 并 向 有 关 部 门 报告 ， 然 后 再 采取 措施 清除 病毒 ， 不 使 用 盗 
版 光盘 ， 不 玩 电 子 游戏 。 

计算 机 病毒 防范 制度 是 防范 体系 中 每 个 主体 都 必须 遵守 的 行为 规程 ， 没 有 制度 ， 防 范 
体系 就 不 可 能 很 好 地 运作 ， 就 不 可 能 达到 预期 的 效果 。 用 户 必 须 依 照 防范 体系 对 防范 制度 
的 要 求 ， 结 合 实际 情况 ， 建 立 符合 自身 特点 的 防范 制度 。 
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АША Y ОНЫ ЛО ХӘН» 9 - 些 补救 措施 ， 恢 复 被 计算 机 
病毒 破坏 的 系统 。 下 面 介绍 计算 机 病毒 感染 后 的 气 般 修复 处 理 方法 。 

首先 必须 对 系统 被 破坏 程度 有 一 个 全 面 ， 并 以 此 来 决定 采用 哪些 有 效 的 清除 方 
法 和 对 策 。 如 果 受 破坏 的 大 多 是 系统 ”用 程序 文件 ， 并 且 感 染 程度 较 深 ， 那 么 可 以 
采取 重 装 系统 的 办 法 。 而 当 感 染 的 是 吴 键 数据 文件 ， 或 受 破坏 比较 严重 ， 比 如 硬件 被 CIH 
计算 机 病毒 破坏 时 ， 就 可 以 者 es ye 清除 和 数据 恢复 工作 。 

修复 前 ， 尽 可 能 再 次 1 要 的 数据 文件 。 防 杀 计算 机 病毒 软件 在 杀毒 前 大 多 都 
















能 够 保存 重要 的 数据 和 祷 感 染 的 文件 ， 以 便 能 够 建 误杀 或 造成 新 的 破坏 时 可 以 恢复 现场 。 
但 是 对 那些 重要 ослын 亲 毒 前 手工 进行 备份 ， 备 份 不 能 做 在 被 感染 
混在 一 起 。 


破坏 的 系统 内 SN 也 下 应 该 与 平时 的 常规 

发 现 计算 榴 洁 毒 后 ， 一 般 应 利用 防 杀 计 算 机 病毒 软件 清除 文件 中 的 计算 机 病毒 ， 如 果 
可 执行 文件 中 的 计算 机 病毒 不 能 被 清除 ， 一 般 应 将 其 删除 ， 然 后 重新 安装 相应 的 应 用 程序 。 
杀毒 完 后 重启 计算 机 , 再 次 用 防 杀 计算 机 病毒 软件 检查 系统 中 是 否 还 存在 计算 机 病毒 ， 
并 确定 被 感染 破坏 的 数据 确实 被 完全 恢复 。 
































54 ”病毒 和 反 病 毒 的 发 展 趋势 





计算 机 病毒 是 和 计算 机 技术 是 同步 发 展 的 ， 下 面 介绍 病毒 的 最 新 发 展 趋势 和 防 病毒 的 


5.4.1 ”病毒 的 发 展 趋势 


近年 来 ， 高 级 持续 性 威胁 (Advanced Persistent Threat，APT) 威 胁 着 企业 的 数据 安全 。 
APT 是 黑客 以 窃取 核心 资料 为 目的 ， 针 对 客户 所 发 动 的 网 络 攻击 和 侵 缆 行为 ， 是 一 种 荤 谋 
已 久 的 “恶意 商业 间谍 威胁 ” 这 种 行为 往往 经 过 长 期 的 经 营 与 策划 , 并 具备 高 度 的 隐蔽 性 。 


2» 
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APT 的 攻击 手法 在 于 隐匿 自己 ， 针 对 特定 对 象 ， 长 期 、 有 计划 性 和 组 织 性 地 窃取 数据 ， 这 
种 发 生 在 数字 空间 的 偷窃 资料 、 搜 集 情报 的 行为 ， 就 是 一 种 “网 络 间谍 ”的 行为 。 

APT 入 侵 客户 的 途径 多 种 多 样 ， 主 要 包括 以 下 几 个 方面 。 

(1) 以 智能 手机 、 平 板 电脑 和 USB 等 移动 设备 为 目标 和 攻击 对 象 继而 入 侵 企 业 信息 系 
统 的 方式 。 

(2) 社交 工程 的 恶意 邮件 是 许多 APT 攻击 成 功 的 关键 因素 之 一 ， 随 着 社交 工程 攻击 手 
法 的 日 益 成 熟 ， 邮 件 几 乎 真 假 难 辨 。 从 一 些 受到 APT 攻击 的 大 型 企业 可 以 发 现 ， 这 些 企业 
受到 威胁 的 关键 因素 都 与 普通 员工 遭遇 社交 工程 的 恶意 邮件 有 关 。 黑 客 刚 一 开始 ， 就 是 针 
对 某 些 特定 员工 发 送 钓 鱼 邮 件 ， 以 此 作为 使 用 APT 手法 进行 攻击 的 源头 。 

о) яия. ванае 
APT 攻击 的 另 一 重要 手段 。 

总 之 ， 高 级 持续 性 威胁 (APT) 正 在 通过 一 切 方式 作 编 注 菇 于 代码 的 传统 安全 方案 (如 防 
病毒 软件 、 防 火 墙 、IPS 等 )， 并 更 长 时 间 地 法 伙 在 紧 绕 中， 让 传统 防御 体系 难以 侦 测 。 

“潜伏 性 和 持续 性 ”是 APT 攻击 最 大 主要 特征 包括 以 下 内 容 。 

(1) 潜伏 性 : 这 些 新 型 的 攻击 和 威胁 误 兹 在 用 户 环境 中 存在 一 年 以 上 或 更 久 ， 它 们 不 
断 收集 各 种 信息 ， 直 到 收集 到 重要 情 3RRj 而 这 些 发 动 АРТ 攻击 的 黑客 目的 往往 不 是 为 了 在 
nt nt “арық Y 



















































































成 跳板 ， 持 续 搜 索 、 直 到 能 彻底 掌握 所 针对 的 目标 
人 、 事 、 物 ， 所 以 这 种 AP 了 或 击 模式 ， 实 质 上 是 恶意 商业 间谍 威胁 ”。 

医 还 数 年 的 特征 ， 这 让 企业 的 管理 人 员 无 
省 不 断 尝 试 的 各 种 攻击 手段 ， 以 及 渗透 到 











(2) 持续 性 : 由 于 攻击 具有 持续 性 大友 


从 察觉 。 在 此 期 间 2 这 种 “持续 性 ”体现 在 和 
й. 

O BEEN: ЕРИНЕ ВОКЕР МИ, ЕЛИНЕ ЗШЕ, НЕНИ 
Ж, ВРАНА АЕ Ллар TERRE Н ЕУ СТ, WEH 
机 植 入 恶意 软件 的 第 一 个 机 会 。 

(4) 安装 远程 控制 工具 ， 攻 击 者 建立 一 个 类 似 价 户 网 络 Botnet 的 远程 控制 架构 ， 攻 击 者 
会 定期 传送 有 潜在 价值 文件 的 副本 给 命令 和 控制 服务 器 (C&C Serven) 审 查 。 将 过 滤 后 的 敏感 
机 密 数据 ， 利 用 加 密 的 方式 外 传 。 


542 ”病毒 清除 技术 的 发 展 趋势 


上 面 介 绍 了 计算 机 发 展 的 最 新 趋势 , 下 面 来 看 看 病毒 清除 的 新 技术 和 最 新 的 发 展 方向 。 
1， 实 时 监测 技术 


这 个 技术 为 计算 机 构筑 起 一 道 动态 、 实 时 的 反 病毒 防线 ， 通 过 修改 操作 系统 ， 使 操作 系 
统 本 身 具 备 反 病毒 功能 ， 把 病毒 拒 于 计算 机 系统 之 外 。 它 可 以 时 刻 监测 系统 中 的 病毒 活动 ， 
上 时刻 监测 系统 状况 ， 时 刻 检 测 软盘 、 光 盘 、 因 特 网 、 电 子 邮件 上 的 病毒 传染 ， 将 病毒 阻止 在 
操作 系统 之 外 。 由 于 采用 了 与 操作 系统 的 底层 无 颖 连接 技术 , 实时 监测 占用 的 系统 资源 极 小 ， 
户 一 方面 感觉 不 到 对 计算 机 性 能 的 影响 ， 一 方面 根本 不 用 考虑 病毒 侵袭 的 问题 。 
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只 要 实时 反 病 毒 软 件 实时 地 在 系统 中 工作 ， 病 毒 就 无 法 侵入 计算 机 系统 。 可 以 保证 的 
是 ， 今 后 计算 机 运行 的 每 一 秒 钟 都 会 执行 严格 的 反 病毒 检查 ， 使 从 因特网、 光盘 、 软 盘 等 
途径 进入 计算 机 的 每 一 个 文件 都 安全 无 病毒 。 

2， 自 动 解压 缩 技术 

目前 在 因特网 、 光 盘 及 Windows 中 接触 到 的 大 多 数 文件 都 是 以 压缩 状态 存放 的 ， 以 便 
节省 传输 时 间或 节约 存放 空间 ， 这 就 使 得 各 类 压缩 文件 成 了 计算 机 病毒 传播 的 温床 ， 按 现 
在 的 技术 ， 只 能 查 出 病毒 ， 而 无 法 消除 。 但 自动 解压 缩 技术 能 避免 这 个 问题 。 

3， 跨 平台 反 病 毒 技 术 

Ta pmol 
必须 在 不 同 的 平台 上 使 用 跨 平台 的 反 病 毒 软件 , 只 结 点 上 安装 一 套 反 病毒 软件 ， 
那么 这 些 结 点 就 都 能 实时 地 抵御 针对 不 同 平台 < 击 。 只 有 这 样 ， 才 能 做 到 网 络 的 真 





























正安 全 和 可 靠 ， 实 现 反 病毒 技术 的 跨 平 台 性 。 


КУ 


543 МБ ЕЖ 
. 完整 的 产品 体系 和 较 高 


一 个 好 的 防 病毒 系统 有 够 被 盖 到 每 s қай “ 台 。 病 毒 的 入 口 点 非常 多 ， 一 般 
М 大 体 上 分 为 客户 端 、 邮 件 服 务 器 、 


需要 考虑 在 每 一 种 需要 
其 他 服务 器 、 网 半 
р me 

2. nanaii e Í 

网 络 防 病毒 所 讲 的 不 仅仅 是 可 以 对 网 络 服务 器 进行 病毒 防范 ， 更 加 重要 的 是 能 够 对 防 
病毒 软件 通过 网 络 进行 集中 的 管理 和 统一 的 配置 。 一 个 能 够 完成 集中 分 发 软件 、 进 行 病毒 
特征 码 升级 的 控制 台 是 非常 必要 的 。 

为 了 方便 集中 管理 ， 防 病毒 软件 控制 台 首先 需要 解决 的 就 是 管理 容量 问题 ， 也 就 是 每 
一 台 控制 台 能 够 管理 到 的 客户 机 的 最 大 数目 。 对 于 一 个 企业 内 部 的 不 同 部 门 ， 可 能 需要 设 
置 不 同 的 防 病毒 策略 。 一 个 好 的 控制 台 应 该 允许 管理 员 按照 Тр 地 址 、 计 算 机 名 称 、 子 网 其 
至 NT 域 进行 安全 策略 的 分 别 实 施 。 

з. 减少 通过 广域网 进行 管理 的 流量 
在 一 个 需要 通过 广域网 进行 管理 的 企业 中 ， 由 于 广域网 的 带宽 有 限 ， 防 病毒 软件 的 安 
装 和 升级 流量 问题 也 是 必须 要 考虑 到 的 。 好 的 防 病毒 软件 应 从 各 个 方面 考虑 ， 尽 量 减少 带 
宽 占用 问题 。 首 先 ， 自 动 升 级 功能 允许 升级 发 生 在 非 工作 时 间 ， 尽 量 不 占用 业务 需要 的 带 
宽 ， 其 次 ， 对 于 必须 频繁 升级 的 特征 码 ， 应 采用 必要 的 措施 对 其 进行 压缩 ， 比 如 增 量 升级 
方式 等 
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4. 对 计算 机 病毒 的 实时 防范 能 力 


传统 意义 上 的 实时 计算 机 病毒 防范 是 指 防 病毒 软件 能 够 常 驻 内 存 ， 对 所 有 活动 的 文件 
进行 病毒 扫描 和 清除 。 这 当然 是 一 个 防 病毒 软件 必 备 的 功能 。 这 里 说 的 防范 能 力 是 另外 一 
种 意义 的 自动 病毒 防范 能 力 。 目 前 由 于 病毒 活动 频繁 , 再 加 上 网 络 管理 员 一 般 都 工作 忙碌 ， 
有 可 能 会 导致 病毒 特征 码 不 能 被 及 时 更 新 。 这 就 需要 防 病 毒 软 件 本 身 能 够 具有 一 定 程度 的 








未 知 病毒 识别 能 力 。 
5. 快速 及 时 的 病毒 特征 码 升 级 




















要 求 也 格外 重要 。 
目前 的 防 病毒 工作 的 意义 早已 脱离 了 各 自 为 
病毒 。 目 前 ， 如 果 需 要 对 整个 网 络 进行 规范 人 
结合 网 络 的 病毒 入 口 点 分 析 ， 很 好 地 将 这 点 





正 是 由 于 防 病毒 软件 需要 不 断 进行 升级 ， ИС 





病毒 防御 体系 。 
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能 够 提供 一 个 方便 、 有 效 和 快速 的 升级 方式 是 防 病毒 系统 应 该 具备 的 重要 功能 之 一 。 
tre 

， 技 术 也 不 仅仅 局 限 在 单机 的 防 
毒 防范 ， 就 必须 了 解 最 新 的 技术 ， 
NM 应用 到 自己 的 网 络 中 去 ， 形 成 一 个 协同 作 
战 、 统 一 管理 的 局 面 ， Р 才能 够 称 得 上 是 一 个 完整 的 、 现 代 化 的 网 络 
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本 章 介绍 了 计算 机 病毒 特别 是 网 络 病毒 的 基本 知识 ， 包 括 病毒 的 基本 概念 、 分 类 、 传 

染 机 制 和 破坏 机 制 、 防 范 与 清除 的 新 技术 。 本 章 还 列举 了 几 种 典型 病毒 案例 ， 介 绍 了 国内 
著名 的 杀毒 软件 厂商 瑞星 的 杀毒 新 技术 应 用 案例 “ 云 安全 ”。 
56 本 章 实 训 


实 训 : 防 病毒 软件 应 用 


实 训 目的 
学 会 安装 杀毒 软件 和 使 用 杀毒 软件 。 
实 训 环境 


Windows 系列 操作 系统 、 常 用 杀毒 软件 ， 如 瑞星 、 金 山 毒 霸 、360 杀毒 软件 、 腾 





第 5 章 病毒 分 析 与 防御 
讯 电脑 管家 等 ， 一 台电 脑 上 只 选 一 款 杀 毒 软件 完成 本 项 实 训 ， 以 下 只 以 瑞星 为 例 ， 其 
他 类 似 。 
实 训 内 容 


(D 启动 计算 机 。 
(2) 启动 瑞星 杀毒 软件 安装 程序 ， 按 照 提示 ， 选 择 必要 组 件 安装 ， 通 常 可 以 保持 默认 

















图 5.3 ”提示 内 存 扫描 
设置 ， 如 图 5.4 和 图 5.5 所 示 。 
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854 查 杀 病毒 图 5.5 系统 设置 





(4) 开启 瑞星 安全 防御 功能 组 件 ， 如 图 5.6 所 示 。 下 载 瑞星 卡 卡 上 网 安全 助手 ， 扫 描 系 
统 漏洞 ， 如 图 5.7 所 示 。 
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56 开启 安全 防御 功能 
(5) 根据 计算 机 系统 安全 需求 设置 安全 级 别 ， 


C вао Wh | 


58 设 定 系统 安全 级 别 


57 本 章 习 题 


























1. 填空 题 

а) 计算 机 病毒 虽然 种 类 很 多 ， 通 过 分 析 现 有 的 计算 机 病毒 ， 几 乎 所 有 的 计算 机 病毒 
都 是 由 3 个 部 分 组 成 ， 即 ` 和 А 

(2) 病毒 不 断 发 展 ， 把 病毒 按时 间 和 特征 可 分 成 个 阶段 。 

(3) 病毒 按 传染 方式 可 分 为 型 病毒 、 型 病毒 和 型 病毒 3 种 。 

(а) 目前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 : 和 触发、 键盘 触发 、 感 染 触发 、 











触发 、 访 问 磁盘 次 数 触发 、 调 用 中 断 功能 触发 和 CPU 型 号 /主板 型 号 触发 。 
(5) 现在 世界 上 成 熟 的 反 病 毒 技 术 已 经 完全 可 以 彻底 预防 、 彻 底 杀 除 所 有 的 已 知 病毒 ， 
其 中 主要 涉及 以 下 三 大 技术 : 技术 、 技术 和 全 平台 反 病 毒 技术 。 
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2. 选择 题 
(D ( ，“) 是 病毒 的 基本 特征 。 计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 
到 未 被 感染 的 计算 机 。 
А. 潜伏 性 B. 传染 性 C. 欺骗 性 D. 持久 性 
(2) 计算 机 病毒 行动 诡秘 ， 计 算 机 对 其 反应 迟钝 ， 往 往 把 病毒 造成 的 错误 当成 事实 接 
受 下 来 ， 故 它 很 容易 获得 成 功 ， 故 它 具有 ( )- 





A. 潜伏 性 в. 传染 性 с. 欺骗 性 D. 持久 性 
3， 简 答题 
(1) 简 述 计算 机 病毒 的 发 展 过 程 。 
(2) 如 何 防范 计算 机 病毒 ? Ж» 
(3) 如 何 清除 计算 机 病毒 ? K 
(4) 简要 介绍 病毒 的 危害 。 


(6) 简要 介绍 怎样 识别 病毒 。 
(7) 简 述 计算 机 病毒 的 新 发 展 动向 。> X 
(8) 简 述 计算 机 的 新 防 病毒 技术 Ж 


(5) 简要 介绍 病毒 发 展 的 新 技术 。 аб 





Ж 
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М 教学 目标 


通过 对 本 章 的 学 习 ， 读 者 应 了 解 客户 器 模型 ，Internet 的 安全 特点 ， 热 练 
掌握 Web. FTP. E-mail 及 SQL Seryer 全 管理 操作 。 
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本 节 对 Internet 主要 的 网 络 应 用 服 要 


6.1.1 应 用 服务 的 划分 


Internet 发 展 迅 速 ， 提 oo 


务 主要 有 以 下 几 种 。 
L Web 服务 >/ 


СИИИ > менеп 
maa WYW Е ое ве K eaae. MUSOR, HN 
АТАҒА ТТТ 服务 、 多 媒体 服务 和 数据 库 服务 等 紧密 集成 ， 通 过 
浏览 器 收 /发 电子 邮件 和 上 传 下 载 文件 等 已 经 日 益 普 及 ， 是 目前 最 重要 的 应 用 服务 。 


2. 电子 邮件 服务 


电子 邮件 服务 是 Internet/Intranet 上 最 经 典 的 服务 。 通 过 申请 一 个 电子 邮件 信箱 ， 就 可 
以 向 其 他 拥有 信箱 的 用 户 发 送 文件 、 声 音 和 图 片 等 。 


3. 终端 服务 


终端 服务 主要 用 于 远程 管理 和 远程 运行 应 用 程序 。 终 端 服务 可 以 允许 用 户 将 基于 
Windows 的 应 用 ， 或 Windows 桌面 本 身 ， 虚 拟 到 任何 计算 机 (包括 那些 不 能 运行 Windows 
的 计算 机 )。 比 如 ， 在 安装 Windows 98 的 计算 机 上 同样 可 以 使 用 Windows 2000 的 桌面 等 。 


4. 路 由 和 远程 访问 服务 


路 由 和 远程 访问 服务 主要 用 于 构建 网 络 路 由 器 和 远程 访问 服务 器 ， 可 以 把 安装 了 
Windows 2000/Linux 的 服务 器 作为 主机 路 由 器 使 用 。 


5. 虚拟 专用 网 (VPN) 服 务 
VPN 服务 用 于 构建 机 密 的 网 络 ， 所 有 信息 被 加 密 后 在 网 络 上 进行 传送 。 
































6.1 Internet 
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6. 域名 服务 


域名 服务 主要 用 于 构建 域名 解析 服务 。 域 名 解析 服务 是 将 网 络 上 一 个 具有 意义 的 字符 
名 称 转换 为 服务 器 的 ІР 地 址 的 服务 。 在 浏览 器 中 输入 www.sina.com 这 样 的 域名 时 ， 使 
的 就 是 DNS 服务 。 


7. 动态 主机 配置 协议 服务 


动态 主机 配置 协议 服务 主要 用 于 构建 DHCP 服务 。 由 于 Internet 上 的 IP 地 址 资源 有 限 ， 
此 目前 很 多 拨号 上 网 的 用 户 使 用 的 是 随机 分 配 的 了 P 地 址 ， 这 就 是 DHCP 服务 的 作 


8， 流 媒体 服务 


流 媒 体 服务 主要 用 于 构建 网 络 视频 点 和 多 播 服务 ， 实 际 es 于 分 发 
字 媒 体内 容 的 服务 器 端 组 件 。 ОИ IFAI Web 服务 之 外 ， 它 还 
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下 洋 


以 提供 最 具 可 靠 性 、 可 管理 性 和 经 济 性 的 流 媒体 
9. FTP 服务 


FTP(File Transfer Protocol, 文件 传输 AN, 于 在 计算 机 之 间 方 便 地 传递 文件 。 FTP 
服务 器 上 存储 了 大 量 的 共享 或 免费 软件 3 。 用 户 可 以 根据 需要 连接 到 特定 的 FTP 服务 
器 下 载 文件 ， 经 过 授权 的 用 户 0 P 服务 器 上 传 文件 。 如 果 在 Internet 上 申请 了 免 










费 的 主页 空间 ， ee :维护 站 点 
10. 新 闻 服务 
新 闻 服务 是 -M ERIK RERE, ALAR 
maL ар Ат ТЕ 服务 器 ， 浏 览 新 闻 组 的 内 容 ， 发 表 文章 等。 
f 
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代理 服务 器 实际 上 就 是 一 台 普通 的 计算 机 ， 安 装 好 代理 服务 软件 后 ， 为 局 域 网 内 的 
所 有 计算 机 提供 连接 Internet 的 代理 。 代 理 服 务 器 可 以 将 局 域 网 的 结构 屏蔽 起 来 ，Internet 
上 的 计算 机 不 能 直接 访问 局 域 网 ， 同 时 ， 可 以 通过 过 滤 IP 地 址 等 方法 限制 局 域 网 内 计算 
机 对 Internet 的 访问 。 由 于 所 有 的 局 域 网 主机 连接 到 Internet 都 经 过 代理 服务 器 进出 ， 因 
此 ， 在 代理 服务 器 上 可 以 设置 用 户 的 权限 、 记 账 、 限 制 用 户 的 访问 时 间 、 信 息 流量 、 访 
问 日 志 记录 等 功能 。 通 过 代理 服务 器 连接 Internet 是 中 小 企业 局 域 网 连接 Internet 的 切实 
可 行 的 方法 。 

除了 上 述 传统 的 网 络 服务 外 ， 目 前 Intranet/Intemet 上 还 正在 发 展 一 些 新 兴 的 服务 ， 这 
些 网 络 服务 在 组 建 网 络 时 也 经 常 被 使 用 。 

12. 即时 通信 服务 

通过 专门 建立 的 服务 器 保存 网 友 的 在 线 信 息 ， 为 每 个 用 户 分 配 一 个 数字 号 码 ， 通 过 这 些 
号 码 就 可 以 在 需要 的 时 候 查 询 对 方 是 否 在 网 上 ,双方 可 以 发 送 文件 、 语音 通话 、 参加 讨论 等 。 
使 用 这 些 服务 的 用 户 必须 向 服务 器 注册 ， 申 请 一 个 唯一 的 号 码 。Intermet 上 的 ICQ 和 QQ ЛК 
务 类 似 于 网 络 上 的 寻呼台 ， 而 拥有 一 个 唯一 的 QQ 号 码 则 类 似 于 给 自己 配置 一 个 寻呼机 。 

ICQ 是 从 国外 发 展 起 来 的 ， 而 QQ 则 是 由 国内 的 腾讯 公司 自主 开发 的 适合 中 国 国 情 的 
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即时 通信 服务 软件 ， 目 前 在 国内 拥有 广泛 的 用 户 群 起初 ,ICQ 和 QQ 服务 仅仅 在 Internet 
上 提供 服务 。 目 前 ， 利 用 腾讯 公司 提供 的 软件 也 可 以 在 Intranet 上 构建 QQ 服务 。 


13. 网 络 办 公 服 务 


OA(Office Auto， 办 公 自 动 化 ) 是 指 利用 网 络 通信 设施 和 网 络 应 用 平台 ， 构 建 的 安全 、 
可 靠 、 高 效 和 开放 的 办 公 自动 化 系统 ， 为 管理 部 门 提供 综合 的 信息 服务 ， 实 现 办 公 业 务 处 
理 自动 化 和 管理 流程 化 ， 以 提高 办 公 效 率 和 办 公 水 平 。 正 是 由 于 OA 的 这 些 特点 ， 目 前 已 
经 在 政府 部 门 和 企 事业 单位 内 部 获得 了 较 广 泛 的 应 用 ， 成 为 电子 政务 中 不 可 缺少 的 重要 组 
成 部 分 。OA 主要 在 电子 政务 中 肩负 起 公文 自动 流转 和 规范 管理 的 任务 。 

随 着 “电子 政务 ”的 不 断 推进 ，OA 必 将 得 到 越 来 越 广泛 的 应 用 ，OA 服务 也 成 为 目前 
新 兴 的 网 络 服务 。 





























14. 数字 证 书 服务 (PKI 和 СА) < 
在 日 常生 活 中 ， 每 个 人 都 有 一 个 唯一 号 码 的 F 数字 证 书 的 作用 与 之 类 似 。 它 是 
在 Internet 上 要 从 事 一 些 需要 安全 保密 工作 时 必 丛 的 《个 人 身份 证 ” 是 由 权威 机 构 发 行 的 ， 
在 网 络 通信 中 标志 通信 各 方 信息 的 一 系列 

网 络 上 进行 通信 的 各 方 均 向 PKI 
建立 的 一 套 严密 的 身份 系统 来 保证 : 

































书 颁 发 机 构 申 请 数字 证 书 ， 通 过 PKI 系统 
Че 输 过 程 中 不 被 得 改 ， 发 送 方 能 够 通过 数字 证 





明 结 构 ) 即 完整 的 纹 销 解决 方案 , 利用 公 钥 加 解密 技术 

的 最 高 水 平 。PKI 技术 是 包括 软 、 硬 
上 祝 息 安全 具有 重大 的 意义 。 目 前 世界 各 国 
都 在 研究 、 制 定 КІЛ ЖАНЫ. 我国 的 PKI 建设 和 应 用 目前 还 主要 在 银 
行业 、 у 工商 业 和 海关 等 。 通 过 Ішетес 炒股 、 购 物 、 办 理 网 上 银行 业务 、 
网 上 纳税 以 及 网 上 电子 政务 的 同时 ， 就 是 在 使 用 PKI 提供 的 服务 。 


6.1.2 Internet 的 安全 


1， 安 全 隐患 


Internet 本 身 是 没有 边界 的 、 全 球 的 互联 网 ， 不 属于 任何 一 个 组 织 和 任何 一 个 国家 ; 在 
Internet 上 既 没 有 法 令 也 没有 法 规 ， 人 们 的 行为 儿 乎 不 受制 约 。 由 于 没有 国际 互联 网 上 通行 
的 国际 法 规 , 所 以 对 犯罪 没有 处 理 的 依据 。 Internet 有 很 多 安全 隐患 , 主要 表现 在 以 下 儿 方 面 。 
(1) Internet 是 跨国 界 的 , 黑客 乐于 进行 跨国 攻击 。 通 过 IP 地 址 识别 网 络 上 的 用 户 是 完 
全 不 可 靠 的 。 众 所 周知 ， 大 多 数 国家 都 实行 身份 证 或 户籍 管理 制度 ， 这 种 制度 就 是 把 人 和 
他 的 身份 对 应 起 来 ， 通 过 身份 来 控制 和 管理 个 人 。 但 是 在 Intemet Е, ІР 地 址 只 是 一 个 数 
字 的 标志 ， 根 本 不 能 代表 实际 的 身份 ， 通 过 ТР 地 址 来 识别 和 管理 存在 严重 的 安全 漏洞 。 
(2) Internet 本 身 没 有 中 央 管 理 机 制 ， 没 有 法 令 和 法 规 。 
(3) Internet 从 技术 上 来 讲 是 开放 的 、 标 准 的 ， 是 为 君子 设计 而 不 防 小 人 的 。 
(4) Internet 没有 审计 和 记录 的 功能 ， 也 就 是 说 对 发 生 的 事情 没有 记录 ， 这 也 是 一 个 安 
全 隐患 
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2. 产生 原因 


1) 薄弱 的 认证 环节 

Internet 的 许多 安全 隐患 是 因为 使 用 了 薄弱 的 、 静 态 的 密码 。Intemet 上 的 密码 可 以 通 
过 许多 方法 破译 。 其 中 最 常用 的 两 种 方法 是 把 加 密 的 密码 解密 和 通过 监视 信道 窃取 密码 。 
UNIX/Linux 操作 系统 通常 把 加 密 的 密码 保存 在 一 个 文件 中 ， 而 普通 用 户 也 可 读 取 该 文件 ， 
这 个 密码 文件 可 以 通过 简单 的 复制 或 其 他 方法 得 到 。 一 旦 密码 文件 被 闻 入 者 得 到 ， 他 们 就 
可 以 使 用 解密 程序 。 如 果 密 码 是 薄弱 的 ， 如 少 于 8 个 字符 或 是 英语 单词 ， 就 可 能 被 破译 ， 
然后 用 来 获取 对 系统 的 访问 权 。 
有 一 些 TCP 或 UDP 服务 只 能 对 主机 地 址 进行 认证 ， 而 不 能 对 指定 的 用 户 进行 认证 。 
例如 ， 网 络 文件 系统 (NFS，Netware File System) 服 务 器 不 能 做 到 只 给 一 个 主机 上 的 某 些 特 
定 用 户 访问 权 ， 它 只 能 给 整个 主机 访问 权 。 在 该 系统 中 ， 个 服务 器 的 管理 员 也 许 只 
信任 某 一 主机 的 某 一 特定 用 户 ， 并 希望 该 用 户 拥有 访 让 管理 员 无 法 控制 该 主机 上 
的 其 他 用 户 ， ee A т. 

2) 系统 的 易 被 监视 性 

当 用 户 使 用 Telnet 或 FTP 连接 到 远程 末 账户 时 ， 在 Internet 上 传输 的 密码 是 没 
有 加 密 的 ， 那 么 侵入 系统 的 一 个 方法 就 是 i 听 获 取 带 用 户 名 和 密码 的 了 P 包 ， 然 后 使 用 
这 些 用 户 名 和 密码 ， 登 录 到 系统 。 获 的 是 管理 员 的 密码 ， 那 么 获取 特权 访问 就 变 
得 更 为 容易 了 ， 当 前 有 很 多 系统 这 种 方法 入 侵 eX 


el 许多 人 认为 电 安全 的 ， 所 以 用 它 来 传送 敏感 的 
内 容 。 因 此 电子 邮件 可 其 被 监视 从 而 泄露 敏感 信 首 ee 
































































































开 多 重 窗口 来 显 7 多 媒体 应 用 。 
能 含有 密码 怠 感 信息 的 文件 。 
3) 网 络 系统 易 被 欺骗 性 


Internet 上 的 主机 是 通过 ІР 地 址 进行 访问 的 。 如 果 使 用 了 IP 地 址 欺骗 ， 那 么 攻击 者 的 

主机 就 可 以 冒充 一 个 被 信任 的 主机 或 客户 从 而 侵入 系统 。 
-个 更 简单 的 方法 是 等 用 户 系统 关机 后 来 模仿 该 系统 。 在 许多 组 织 中 , 经 常 使 用 UNIX 

主机 作为 局 域 网 服务 器 ， 员工 用 个 人 计算 机 和 TCP/IP 网 络 软件 来 连接 和 使 用 它们 。 个 人 计 
算 机 一 般 使 用 NFS 来 对 服务 器 的 目录 和 文件 进行 访问 (NFS 仅仅 使 用 IP 地 址 来 验证 客户 )。 
一 个 攻击 者 在 儿 小 时 内 就 可 以 设置 好 一 台 与 合法 用 户 使 用 相同 的 名 字 和 下 地 址 的 个 人 计算 
机 ， 然 后 与 UNIX 主机 建立 连接 ， 就 好 像 他 是 “ 真 的 ”客户 ， 这 是 非常 容易 实现 的 攻击 手 
段 ， 但 一 般 是 内 部 人 员 所 为 。 
其 他 一 些 服务 (如 域名 服务 ) 也 可 以 被 欺骗 ， 不 过 手段 比 电子 邮件 更 为 复杂 。 使 用 这 些 
服务 时 ， 必 须 考虑 潜在 的 危险 。 
4) 复杂 的 设备 和 控制 
对 主机 系统 的 访问 控制 通常 很 复杂 而 且 难 于 验证 其 正确 性 。 因 此 ， 偶 然 的 配置 错误 会 
使 间 入 者 获取 访问 权 。 
FE Internet 上 的 安全 事故 的 起 因 是 由 那些 被 闻 入 者 发 现 的 弱点 造成 的 由 于 目前 大 多 
数 Linux 系统 都 采用 开放 源 代码 方式 开发 ， 而 源 代码 又 可 以 轻易 得 到 ， 所 以 闻 入 者 可 以 通 
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过 研究 其 中 可 利用 的 缺陷 来 侵入 系统 。 存 在 缺陷 的 部 分 原因 是 软件 的 复杂 性 ， 因 而 没有 能 
力 在 各 种 环境 中 进行 测试 。 有 些 软件 缺陷 很 容易 被 发 现 和 修改 ;而 另 一 些 缺 陷 只 能 重 写 该 
软件 才能 被 更 正 。 

5) 通信 协议 存在 安全 问题 

网 络 通信 的 基础 是 协议 ，TCP/IP 协议 是 目前 国际 上 最 流行 的 网 络 协议 。 该 协议 在 设计 
时 没有 过 多 考虑 安全 因素 。 主 要 原因 是 如 果 考 虑 安全 因素 太 多 ， 将 会 增 大 代码 量 ， 从 而 降 
低 TCP/IP 的 运行 效率 。TCP/IP 协议 在 设计 上 就 是 不 安全 的 ， 黑 客 利 用 一 些 伪造 的 卫 发 送 
地 址 ， 制 造 一 些 虚假 的 数据 分 组 来 充当 合法 工作 站 发 送 的 分 组 ， 其 他 还 有 UDP 欺骗 、TCP 
序列 号 攻击 、ICMP 袭击 、IP 碎片 袭击 等 。 


6.2 Web ПЕГЕ 






































WWW 服务 又 称 Web 服务 ， 是 建立 在 H 传输 协议 ) 上 的 全 球 信息 库 ， 是 


Internet 上 НТТР 服务 器 的 集合 ,在 短 时 间 内 各 发 展 ,是 人 们 最 常用 的 Internet 服务 。 
目前 Web 站 点 遍及 世界 各 地 , 万 维 网 用 超 亦 本 捞 术 把 Web 站 点 上 的 文件 链接 在 一 起 , 文件 
可 以 包括 文本 、 图 形 、 声 音 、 视 频 b 式 。 用 户 可 以 自由 地 通过 超 文 本 导航 从 一 个 
文件 进入 另 一 个 文件 ， 方 便 搜索 信 党 文件 在 哪里 ， 只 要 在 НТТР 协议 连接 的 字 或 图 
上 用 鼠标 单 击 一 下 就 行 了 。 

搜索 Web 文件 的 工具 o 常 用 的 浏览 аре Navigator 和 Microsoft Internet 
Explorer. НТТР 只 是 洲 览 器 中 使 用 的 一 种 协 尺 ， 浏 顺 器 还 会 使 用 FTP、GOPHER、WAIS 
等 协议 ， 也 会 包括 NTPJ 和 SMTP 等 协 说 с" 当 用 户 在 使 用 浏览 器 时 ， 实 际 上 是 通过 
HTTP 申请 服 Sab FTP. сады WAIS, NNTP 和 SMTP 等 服务 器 。 这 些 服 
务 器 都 存在 漏 润 是 不 安全 的 。 ! 


浏览 器 由 于 灵活 而 备 受用 户 的 欢迎 ， 而 灵活 性 也 会 导致 控制 困难 。 浏 览 器 比 FTP 服务 
器 更 容易 转换 和 执行 ， 但 是 一 个 恶意 的 侵入 也 就 更 容易 得 到 转换 和 执行 。 浏 览 器 一 般 只 能 
理解 基于 如 HTML 格式 、JPEG 和 GIF 图 形 格式 等 的 数据 格式 ， 对 其 他 的 数据 格式 ， 浏 览 
器 是 通过 外 部 程序 来 观察 的 。 因 此 用 户 一 定 要 注意 哪些 外 部 程序 是 默认 的 ， 不 能 允许 那些 
危险 的 外 部 程序 进入 站 点 。 用 户 不 要 随便 增加 外 部 程序 ， 不 要 轻信 陌生 人 的 建议 而 随便 地 
进行 个 性 化 外 部 程序 的 配置 。 

大 部 分 Web 站 点 注意 的 只 是 站 点 内 容 的 安全 。 但 是 通过 WWW 会 引入 外 部 文件 和 程序 ， 
通过 超 文本 会 进入 其 他 站 点 的 文本 。 它 们 一 般 对 这 些 文本 和 程序 的 安全 性 考虑 得 很 少 ， 因 
此 会 带 来 很 多 安全 问题 。 

6.2.1 IIS-Web 安全 设置 

为 了 适应 目前 Intemet/Intranet 的 潮流 ， 各 公司 纷纷 推出 自己 的 WWW 信息 发 布 产品 ， 

微软 公司 也 不 例外 。 在 微软 公司 推出 的 一 系列 应 用 产品 和 开发 工具 中 ， 有 许多 是 免费 提供 


给 用 户 使 用 的 ， 从 而 占有 很 大 的 市 场 份额 。 在 这 些 免费 产品 中 ， 有 一 套 名 为 IS (nternet 
Information Server) 的 Web 服务 器 产品 。 
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1. HS 的 安全 设置 

1) 避免 安装 在 主 域 控制 器 上 

在 安装 IIS 后 ,将 在 安装 的 计算 机 上 生成 TUSR_Computemame 匿名 账户 (Computername 
为 服务 器 的 名 字 )， 该 账户 被 添加 到 域 用 户 组 中 ， 从 而 把 应 用 于 域 用 户 组 的 访问 权限 提供 给 
访问 Web 服务 器 的 每 个 匿名 用 户 ， 这 不 仅 给 IIS 带 来 了 巨大 的 潜在 危险 ， 而 且 还 可 能 牵扯 
到 整个 域 资源 的 安全 ， 因 此 要 尽 可 能 避免 把 IIS 安装 在 域 控制 器 上 ， 尤 其 是 主 域 控制 器 。 

2) 避免 安装 在 系统 分 区 上 

把 IIS 安装 在 系统 分 区 上 , 会 使 系统 文件 与 US 同样 面临 非法 访问 ， 容 易 使 非法 用 户 侵 
入 系统 分 区 。 

З) 通过 使 用 数字 与 字母 (包括 大 小 写 ) 相 结合 的 密码 ， 提 高 修改 密码 的 频率 ， 封 锁 失败 
的 登录 尝试 以 及 账户 的 生存 期 等 方法 ， 对 一 般 用 户 账户 ki, 

4) 端口 安全 性 的 实现 < 
对 于 US 服务， 无 论 是 WWW 站 点 、FTP 站 点 S NNTP, SMTP 服务 等 都 有 各 自 
监听 和 接收 浏览 器 请 求 的 TCP 端口 号 (Post)， и. WWW 是 80, ЕТР 是 
21, SMTP 是 25， 可 以 通过 修改 端口 теди нивн 如 果 修改 了 端口 设置 ， 
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只 有 知道 端口 号 的 用 户 才 可 以 访问 ， 但 用 宫 你 访问 时 需要 指定 新 端口 号 。 
2. IIS-Web 服务 器 的 安全 性 
Web 服务 器 是 TS ур УН. пеев, 它 优 于 其 他 同类 产品 。 作 为 

Windows 2000 Server 下 的 -3 项 服务 运行 时 ， 能 ; 的 网 络 提供 快速 、 方 便 、 安 全 的 

Web 出 版 功能 。 如 果 计 和 刘 建立 Web 网 站 ， 要 确 人 Web 网 站 及 其 内 容 的 安全 和 网 络 及 其 资 

源 的 安全 ， m Tagiga IIS ерл 要 采取 其 他 相应 的 手段 。 

ЕЗ! 





























“和 登录 认证 的 安全 

a IS-Web 服务 器 对 用 户 提供 3 种 形式 的 身份 认证 

а ааа ан 如 图 6.1 所 示 。 

а (1) 匿名 访问 方式 。 匿名 访问 就 是 不 用 验证 ， 用 户 
ie oor was 并 不 需要 输入 用 户 名 和 密码 ， 都 是 使 用 一 个 匿名 账号 
ENA D 登录 网 站 。 在 这 3 种 身份 认证 中 它 的 安全 性 是 最 低 的 
s u PPE 用 户 可 以 禁止 匿名 访问 方式 。 默 认 的 匿名 账号 的 格式 











是 : IUSR 主机 名 。 
E O 基本 验证 方式 。 目 前 大 部 分 公司 主页 网 站 设置 
图 6.1 验证 方法 为 基本 验证 ， 而 且 不 允许 匿名 访问 ， 所 以 浏览 器 浏览 
公司 主页 网 站 时 ， 需 要 拥有 Windows 2000 Server 的 
户 账号 和 密码 ， 浏 览 器 会 出 现 一 个 【输入 网 络 密码 】 对 话 框 ， 输 入 用 户 名 和 密码 后 ， 输 入 
的 数据 会 送 到 Web 服务 器 进行 基本 验证 ， 身 份 无 误 后 才能 进入 Web 站 点 的 首页 。 

(3) 集成 Windows 验证 方式 。 集成 Windows 验证 与 基本 验证 方法 相同 ， 只 是 对 传送 的 数 
据 会 进行 加 密 保护 ， 目 前 只 有 Intemet Explorer 浏览 器 支持 这 种 验证 方式 。 集 成 验证 和 基本 验 
证 不 同 的 地 方 在 于 登录 网 站 时 并 不 会 马上 显示 用 户 输入 网 络 密码 的 对 话 框 , 而 是 先 以 客户 端 
户 进行 信息 验证 。 如 果 客户 端 用 户 没有 足够 的 权限 ， 才 会 显示 输入 密码 的 对 话 框 。 在 使 用 集成 
Windows 验证 时 有 下 列 注意 事项 (无 法 使 用 在 Proxy 服务 器 的 网 络 ， 不 支持 Netscape 浏览 器 )。 


0 













































































首先 需要 了 解 匿名 
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访问 的 严重 后 果 , 并 采取 预防 措施 来 确保 为 匿名 访问 创建 的 账户 拥有 适 




















户 对 Web 服务 器 进行 访问 的 类 型 , 可 在 IS 服务 管理 器 中 双击 WWW, 





应 的 许可 权 。 若 要 设置 
调 出 Web 服务 器 再 双 避 
Web 服务 器 服务 程序 可 











H Web 服务 器 ， 以 显示 Web 属性 对 话 框 。 在 对 话 框 中 可 以 看 到 ， 设 置 


以 使 用 多 种 选项 。 对 于 安装 的 大 多 数 IIS 而 言 ， 默 认 选 项 最 好 。 


如 果 希 望 允 许 所 有 用 户 进行 访 
安装 好 后 ， 在 用 户 数据 库 就 会 创建 
务 器 名 。 例 如 ， 如 果 服 务 器 名 为 FS， 新 用 户 账户 则 为 IUSR FS. 
有 限 的 访问 权 ， 并 增加 到 域 用 户 、 客 人 用 户 和 Everyone 组 中 。 
此 外 ，IUSR 账户 被 赋予 在 本 地 登录 的 权限 。 所 有 Web 
因 是 他 们 的 请 求 被 传送 至 Web 用 
允许 Windows 2000 分 配 相 应 的 访问 权 
如 果 希 望 所 有 


问 ， 一 定 要 确保 同 
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目 户 在 访问 服务 器 的 入 有 


意 匿名 访问 。 
-个 新 用 户 账户 ， 其 名 字 为 IUSR_， 后 接 已 安装 好 的 服 


按照 默认 设置 ， 当 HS 


当 账 户 创建 好 ， 它 被 赋予 


都 必须 具有 这 种 权限 ， 原 


有 务 器 服务 程序 ， Wa ени 去 登录 ， 接 着 


清除 Anonymous Гороп( 


效 的 用 户 ID 和 密码 。 如 





名 登录 ) 选 项 即 可 。 那 将 要 求 各 月 
果 能 启动 启示 功能 ， 就 能 查看 型 
2) 设置 用 户 审核 








安装 在 NTFS 文件 系统 上 的 文件 帝 


户 组 和 用 户 进行 不 同 

员 读 文件 的 企图 等 方 

法 用 户 进行 非法 活动 

3) 设置 WWW 

对 已 经 设置 Wel 

录 访 问 权限 的 j 
cjl 


除了 提供 NTI 
录 中 的 文件 ， 执行 权限 ， 允 许 用 户 运 和 


的 权限 设置 。 


далық 
的 前 兆 ， 


EÍ 













сн 





HF 














аиа 
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谁 正在 访问 Wel 


该 目录 下 的 所 外 有 
统 提供 的 权限 外 ， 


以 及 他 们 所 进行 的 操作 。 







方面 要 对 其 权限 加 以 控制 ， 对 不 同 


件 访问 、 用 户 对 象 的 使 用 等 发 
.2 所 示 。 


вац, WY 


ПЕД iB ili 7А 
可 以 i 【Web 站 


“文件 夹 都 将 继承 这 些 安全 性 。WWW 





T WWW 目录 下 的 程序 和 脚本 ， 如 图 6.3 所 示 。 























ANTAJA NTFS 的 审核 功能 对 某 些 特定 用 户 组 成 


4 用 


Т) 


点 】 选 项 卡 实现 对 WWW H 


服务 


提供 读 取 权限 ， 允 许 用 户 读 取 或 下 载 WWW H 
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图 6.2 设置 审核 图 6.3 在 【 主 目录 】 选 项 卡 中 设置 权限 





为 确保 网 站 的 安全 性 , 配置 Web 服务 器 可 以 看 到 的 目录 以 及 相应 的 访问 





层次 也 是 很 重 


a: 


Fs Se 


要 的 。 第 一 次 安装 IS 时 ， 按 照 默 认 设置 ， 它 会 自行 创建 一 个 名 为 InetPub 的 目录 ， 接 着 为 
其 提供 的 Internet 服务 生成 根 目 录 。Web 服务 器 的 根 目录 默认 为 wwwroot， 它 应 当 是 主页 
所 在 的 位 置 。 接 着 可 以 用 Directories 标签 来 增加 存储 额外 内 容 的 新 目录 。 
4) 人 地址 的 控制 

户 可 以 设置 允许 或 拒绝 从 特定 ІР 发 来 的 服务 请 求 , 有 选择 地 允许 特定 主机 的 用 户 访 
问 服务 ， 可 以 通过 设置 来 阻止 除 指定 IP 地 址 外 的 整个 网 络 用 户 来 访问 自己 的 Web 服务 器 ， 
如 图 6.4 所 示 。 
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1р 地 址 访问 限制 
BURET ЯЗОН: 。 5 с ше 
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访问 限制 


图 64 2 
5) 使 用 SSL s 


пее 的 身份 认证 除了 po 基本 
性 更 高 的 认证 : 通过 SSL 0 证 


验证 和 集 小 Windows 验证 外 ， 还 有 一 种 安全 








本 服务 器 之 间 的 加 密 通信 ， 确 保 所 传递 
信息 的 安全 性 。 А 
SSL 工作 СӘТІ ， 任 何 用 户 都 可 以 获得 公共 密 钥 来 加 密 数据 ， 
但 解密 数据 必须 用 通 过 相应 的 私人 密 钥 。 使 用 SSL 安全 机 制 ， 首 先 客户 端 与 服务 器 之 间 建 
立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ， 客户 端 随机 生成 会 话 密 钥 ， 
用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进 行 加 密 ， 并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ， 
而 会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 ， 这 样 ， 客 户 端 和 服务 器 端 就 建立 了 一 个 
唯一 的 安全 通道 。 
建立 SSL 安全 机 制 后 ， 只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 Web 站 点 进行 通信 ， 
且 在 使 用 URL 资源 定位 器 时 ， 输 入 https://， 而 不 是 http:/。SSL 安全 机 制 的 实现 ， 将 增 
大 系统 开销 ， 增 加 服务 器 CPU 的 额外 负担 ， 从 而 降低 系统 性 能 ， 在 规划 时 建议 仅 考虑 为 高 
敏感 度 的 Web 目录 使 用 。 另 外 ，SSL 客户 需要 使 用 IE 3.0 及 以 上 版 本 才能 使 用 。 
6) 其 他 安全 措施 
如 果 正 在 运行 Web 服务 器 ， 尽 管 已 根据 以 前 所 讨论 过 的 内 容 采 取 了 预防 措施 ， 也 许 仍 
有 些 安全 漏洞 有 待 于 填补 。 

以 下 列 出 当 提供 Web 服务 时 ， 一 般 应 当 采 取 的 措施 。 

(1) 停 用 .bat 和 .cmd 文件 的 映射 功能 。 如 果 黑 客 们 拿 到 这 些 Web 服务 器 上 的 可 执行 文 
件 ， 就 可 能 运行 这 些 Web 文件 。 通过 取消 对 脚本 程序 的 所 有 目录 的 阅读 许可 权 ， 就 可 以 停 
某 些 文件 夹 的 映射 功能 。 

(2) 将 脚本 程序 和 数据 存储 在 不 同 的 目录 , 务必 使 包含 脚本 程序 的 目录 只 拥有 执行 许可 。 
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(3) 禁止 使 用 Directory Browsing Allowed( 人 允许 目录 浏览 )。 这 一 功能 启动 后 会 给 出 一 个 
浏览 器 ， 该 浏览 器 含有 某 个 目录 中 的 超 文本 文件 列表 ， 从 而 使 黑客 能 算 改 目录 中 的 文件 。 

(4) 避免 使 用 Remote Virtual Directories( 远 程 虚拟 目录 )。 务 必 将 IIS 的 所 有 可 执行 文件 
及 数据 安装 在 同一 台 机 器 上 ， 并 利用 NTFS 来 保护 。 当 用 户 试图 从 远程 目录 访问 文档 时 ， 
总 是 使 用 输入 到 属性 页 上 的 用 户 名 和 密码 ， 这 就 有 可 能 绕 过 访问 控制 列表 。 当 编写 和 使 用 
CGI 脚本 程序 时 ， 一 定 要 小 心 ， 有 经 验 的 黑客 也 许 会 利用 编写 拙劣 的 CGI 脚本 程序 对 系统 
进行 非法 访问 。 

(5) 牢记 特权 最 小 的 原则 。 如 果 计 划 只 运行 Web 服务 器 ， 那 么 就 只 激活 Web 服务 器 主 
机 的 端口 80。 

(6) 全 面 测试 Web 服务 器 的 安全 性 ， E 


622 ”浏览 器 的 安全 性 
在 Internet 中 , 计算 机 网 络 安全 级 别 高 低 的 区 4 
问 本 地 客户 资源 能 力 的 高 低 来 区 分 的 。 安 全 和 灵 字 


带 来 灵活 性 的 下 降 和 功能 的 限制 。Web 技术 
的 HTML 或 许 是 安全 的 (如 果 把 内 容 给 
0, 






































































1. 览 访 
寺 了 矛盾 的 东西 。 高 的 安全 级 别 必 然 
是 安全 和 强大 功能 的 平衡 。 纯 粹 文字 
心 带 来 的 冲击 ， 比 如 暴力 、 色 情 等 不 看 作 
安全 问题 )， 但 这 样 功能 会 受到 很 大 

安全 是 和 对 象 是 相关 的 。- 
件 服务 器 的 数据 和 程序 是 上 
上 的 大 多 数 访 问 被 认为 十 相 3 ý 

基于 对 访问 对 象 3 定义 了 русуни ИР 的 安 
全 级 别 : 高 、 中 、 G; 并 定义 了 方 时 对 象 : Internet、 本 地 Internet( 即 Intranet), "J 
信 站 点 和 受 民 iy 也 就 是 说 IE 支持 хе ActiveX, Java 等 网 络 新 技术 ， 同 时 也 可 以 通 
过 安全 配置 来 限制 用 户 使 用 ActiveX 控件 、 使 用 Cookies、 使 用 脚本 (Scripb、 下 载 数据 和 程序 、 
验证 用 户 登 录 及 对 于 标准 HTML 的 一 些 可 能 带 来 问题 的 特性 的 限制 ， 如 Frame( 框 架 网 页 ) 的 使 
、 提 交 表 单 的 方式 等 。 一 般 可 以 从 以 下 几 个 方面 提高 使 用 浏览 器 的 安全 性 。 


1. Cookies 及 安全 设置 


1) Cookies 

Cookies 是 由 Netscape 开发 并 将 其 作为 持续 保存 状态 信息 和 其 他 信息 的 一 种 方式 ， 目 
前 绝 大 多 数 浏览 器 都 支持 Cookies 协议 。 如 果 能 够 链 入 网 页 或 其 他 网 络 的 话 ， 就 可 以 使 
Cookies 来 传递 某 些 具有 特定 功能 的 小 信息 块 。Cookies 是 一 个 储存 于 浏览 器 目录 中 的 文本 
文件 ， 约 由 255 个 字符 组 成 ， 仅 占 4KB 硬盘 空间 。 当 用 户 正在 浏览 某 站 点 时 ， 它 储存 于 用 
户 机 的 RAM 中 ; 退出 浏览 器 后 ， 它 储存 于 用 户 的 硬盘 中 。 储存 在 Cookies 中 的 大 部 分 信息 
是 普通 的 信息 。 例 如 ， 当 浏览 一 个 站 点 时 ， 此 文件 记录 了 每 一 次 的 击 键 信 息 和 被 访 站 点 的 
URL 等 。 但 是 许多 Web 站 点 使 用 Cookies 来 储存 私人 的 数据 ， 例 如 ， 注 册 密 码 、 用 户 名 、 
信用 卡 编号 等 。 若 想 查看 储存 在 Cookies 文件 中 的 信息 ， 可 以 从 浏览 器 目录 中 查找 名 为 
Cookies.txt 或 MagicCookies(Mac 机 ) 的 文件 ,然后 利用 文本 编辑 器 和 字 处 理 软件 打开 查看 卓 
可 。Cookies 是 以 标准 文本 文件 形式 储存 的 ， 因 此 不 会 传递 任何 病毒 ， 所 以 从 普通 用 户 意义 
上 讲 ，Cookies 本 身 是 安全 可 靠 的 。 
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但 是 ， 随 着 互联 网 的 迅速 发 展 ， 网 上 服务 功能 
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并 不 是 Cookies 对 自己 的 机 器 能 做 些 什么 ， 而 
В. НТТР Cookies 可 以 被 用 来 跟踪 网 上 冲浪 者 访 
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上 设置 Cookies 时 
Windows 
在 浏览 器 
(1) 如 
应 文件 内 容 3 
fl 
会 传递 新 的 信息 。 
(2) W IE ЙІ 
【 自 定义 级 
在 弹出 
设置 选项 ， 图 6.6 














别 】 按 钮 。 
的 【安全 设置 】 对 话 框 中 ， 移 动 对 话 框 中 的 垂直 滚动 滑 块 ， 直 到 
所 示 有 两 个 Cookies 选项 。 


Cookies 也 容易 实现 , 不 过 利用 Cookies 使 跟踪 到 的 数据 更 加 
及 务 器 放置 在 机 器 上 的 、 并 可 以 重 
Cookies 建立 关 了 
-设置 了 Cookies 的 网 页 
这 些 Cookies 持 有 者 们 把 
户 的 名 字 及 地 址 。 
Н Y НТТР Cookies 的 注册 
身份 的 登记 密码 、E-mail 
-提交 给 站 点 服务 器 ， 服 务 器 利用 Cookies $f 
访问 。 这 些 Cooki 
的 注册 信息 未 曾 


ies 内 嵌 于 HTMLA JTE 
加 密 ， 将 是 和 AR: 
144 Cookies 的 方法 


如 果 感到 不 安全 的 话 ， 
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АЗИ 的 Cookies, 








坚固 可 靠 - 
获取 档案 的 唯一 标识 符 ， 因 
F 用户 及 其 浏览 特征 的 详细 档案 资料 。 所 
上 的 单 击 操 人 \ 都 会 被 加 到 该 档案 中 。 
的 设计 维护 ， 但 除 站 点 管理 员外 并 不 否认 被 别 
-个 用 户 身份 链接 到 他 们 的 

此 外 ， 某 些 高 级 的 Web 站 
鉴定 方式 。 sr. 
也 址 或 邮政 地 址 到 Web 页 
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览 器 总 体 提供 的 Cookies 的 【安全 】 选 项 卡 ， 如 图 6.5 所 示 , 单 击 下 方 的 
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久 Cookies。Cookies 是 
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要 指定 Internet Explorer 在 
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存储 在 您 计算 机 上 的 Cookies】 选 项 指定 


IE 如 何 处 理 来 自 








H Internet 站 点 创建 的 文件 ， 上 
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的 首选 项 )。 永 久 Cookies 以 文件 的 形式 存储 在 计算 机 | 





上 。 要 指定 IE 接收 Cookies 而 不 必 先 提示 ,选中 【 启 
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Web 站 点 将 Cookies 存储 到 计算 机 上 , 而 且 Web 站 点 不 能 读 取 本 机 














每 个 对 话 Cookies( 未 存储 )】 选 项 指定 
站 点 的 临时 Cookies. 如果 希望 Intemet Explorer 直接 接收 Cookies 而 不 是 事前 提醒 , 选中 
日 单 选 按钮 .如 果 希 望 Intemet Explorer 在 即将 接收 来 自 Web 的 Cookies 时 向 


】 单 选 按钮 。 一 般 来 说 ， 为 提高 安全 性 应 选择 【 禁 
Internet Explorer 如 何 
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可 选中 【提示 】 单 选 按钮 。 如 果 不 允 许 来 自 Web 站 点 的 Cookies 进入 用 户 的 计算 机 ， 并 且 不 
允许 用 户 计算 机 上 已 有 的 Cookies 被 Web 站 点 读 取 ， 可 选中 【禁用 】 单 选 按钮 。 
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жін EAW 
图 6.5 IE 安全 选项 卡 R 图 6.6 Cookies 的 安全 设置 选项 
(3) 通过 注册 表 禁 止 Cookies, J| 出 除 注册 表 中 的 如 下 条 目 。 


HKEY_LOACL_MACHD 
ings\Cache\Special Paths\C' 


ARE\Micros ows\CurrentVersion\InternetSett 


\ 
e a FINER Windows\Cookies 目录 。 


1) Activ < SA 

ое ИЙ 公司 提供 的 -种 高 级 技术 ， 它 可 以 像 一 个 应 用 程序 一 样 在 浏览 器 
中 显示 各 种 复杂 的 应 用 。 

ActiveX 是 一 种 技术 集合 ， 包 括 ActiveX 控件 、ActiveX 文档 、ActiveX 服务 器 框架 、 
ActiveX 脚本 、HTML 扩展 等 ， 它 使 得 在 万 维 网 上 交互 内 容 得 以 实现 。 利 用 ActiveX 技术 ， 
网 上 应 用 变 得 生动 活泼 ， 伴 随 着 多 媒体 效果 、 交 互 式 对 象 和 复杂 的 应 用 程序 ， 使 用 户 犹如 
感受 CD 质量 的 音乐 一 般 。 它 的 主要 好 处 是 : 动态 内 容 可 以 吸引 用 户 ， 开 放 的 、 跨 平台 支 
持 可 以 运行 在 Macintosh、Windows 和 UNIX 操作 系统 上 。ActiveX 也 是 一 种 开放 开 台 ， 可 
以 使 开发 人 员 为 Internet 和 企业 网 开发 出 程序 。 

因为 ActiveX 的 强大 功能 ， 它 可 以 做 很 多 的 事情 ， 所 以 它 的 危害 性 也 就 进一步 加 大 了 。 

户 通过 浏览 器 浏览 一 些 带 有 恶意 的 ActiveX 控件 时 ， 这 些 控件 可 以 在 用 户 毫 不 知情 的 情 
况 下 执行 Windows 系统 中 的 任何 程序 ， 给 用 户 带 来 很 大 的 安全 风险 。 

2) ActiveX 的 安全 设置 

在 正中 ， 也 可 以 对 ActiveX 的 使 用 进行 限制 。 

在 出 现 图 6.5 所 示 的 【安全 】 选 项 卡 中 ， 单 击 【 自 定义 级 制 】 按 钮 ， 出 现 【安全 设置 】 
对 话 框 。 移 动 对 话 框 中 的 垂直 滑 块 ,出现 【ActiveX 控件 和 插件 】 设 置 选 项 ， 如 图 6.7 所 示 。 






2. ActiveX 
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Fe 


zizi () 【对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 

зей 脚本 ] 这 个 选项 是 为 标记 为 安全 执行 脚本 的 ActiveX 控件 
执行 脚本 设置 执行 的 策略 。 所 谓 【 对 标记 为 可 安全 执行 
脚本 的 ActiveX 控件 执行 脚本 】 选项， 就 是 指 具 备 有 效 的 
软件 发 行商 证 书 的 软件 。 该 证 书 可 说 明 是 谁 发 行 了 该 控 























p Pst usa тт 件 而 且 它 没有 被 算 改 。 知 道 了 是 谁 发 行 的 控件 ， 用 户 就 
S É Е 可 以 决定 是 否 信任 该 发 行商 。 控 件 包含 的 代码 可 能 会 意 
— H | 外 或 故意 损坏 用 户 自己 的 文件 。 如 果 控 件 未 签名 ， 那 么 


ЕЛІ — amo | 用 户 将 无 法 知道 是 谁 创建 了 它 以 及 能 否 信任 它 。 指 定 希 
же | ка 望 以 何 种 方式 处 理 具有 潜在 危险 的 操作 、 文 件 、 程 序 或 

作 。 

前 给 出 请 求 批准 的 提示 ， 可 选 
















图 6.7 ActiveX 安全 设置 






中 【提示 】 单 先 
@ 如 果 希 望 不 经 提示 并 自动 拒绝 操作 或 了 选中 【禁用 】 单 选 按钮。 
© 如 果 希 望 不 经 提示 自动 继续 ， 可 选 用 】 单 选 按钮 。 
(2) 【对 没有 标记 为 安全 的 Acti 全 和 料 进 行 初始 化 和 脚本 化 】 这 个 选项 为 没有 标记 为 
安全 执行 脚本 的 Active X АГУ ӘТК ЕН ЛЕ 默认 设置 为 禁用 ,用户 最 好 不 要 改变 。 
(3)【 下 载 未 签名 的 ЖЕ.) 人 ActiveX 控件 的 下 载 提 供 策略 。 


未 签名 的 意思 和 没有 标记 罚 挛 % ATARA J. IE 默认 设置 为 禁用 ， 用 户 最 好 
不 要 改变 。 Х-. X% 

4) Т мася ш ActiveX erya 为 已 签名 的 Active X 控件 的 下 载 提供 策略 。 
默认 设置 为 所 多 РМ ВАБО. f 

(5) DZ ActiveX 控件 和 插件 】 这 个 选项 是 为 了 运行 ActiveX 控件 和 插件 的 安全 。 这 
是 最 重要 的 设置 ， 但 许多 站 点 上 都 使 用 ActiveX 作为 脚本 语言 ， 所 以 建议 设置 为 提示 。 这 
样 当 有 ActiveX 运行 时 ，IE 就 会 提醒 用 户 ， 用 户 可 以 根据 当时 所 处 网 站 ， 决 定 是 否 使 用 它 
提供 的 ActiveX 控件 。 对 用 户 信任 的 网 站 ， 可 以 放心 地 运行 它 提供 的 控件 。 

3. Java 语言 及 安全 设置 

1) Java 语言 的 特性 

Java 语言 的 特性 使 它 可 以 最 大 限度 地 利用 网 络 。Applet 是 Java 的 小 应 用 程序 ， 它 是 
动态 、 安 全 、 跨 平台 的 网 络 应 用 程序 。Java Applet 嵌入 HTML 语言 ， 通 过 主页 发 布 到 
Internet。 当 网 络 用 户 访问 服务 器 的 Applet It, 这些 Applet 在 网 络 上 进行 传输 , 然后 在 支持 
Java 的 浏览 器 中 运行 。 由 于 Java 语言 的 机 制 ， 用 户 一 旦 载 入 Applet， 就 可 以 生成 多 媒体 的 
户 界面 或 完成 复杂 的 应 用 。Java 语言 可 以 把 静态 的 超 文 本 文件 变 成 可 执行 应 用 程序 ， 极 
大 地 增强 了 超 文本 的 可 交互 操作 性 。 

Java 在 给 人 们 带 来 好 处 的 同时 ， 也 带 来 了 潜在 的 安全 隐患 。 由 于 现在 Internet 和 Java 在 
全 球 应 用 得 越 来 越 普及 ， 因 此 人 们 在 浏览 Web 页 面 的 同时 也 会 同时 下 载 大 量 的 Java Applet, 
这 就 使 得 Web 用 户 的 计算 机 面临 的 安全 威胁 比 以 往 任何 时 候 都 要 大 。 
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在 用 户 浏览 网 页 时 ， 这 些 黑客 的 Java 攻击 程序 就 已 经 侵入 到 用 户 的 计算 机 中 去 了 。 所 
以 在 网 络 上 ， 不 要 随便 访问 信用 度 不 高 的 站 点 ， 以 防止 黑客 的 入 侵 。 

2) Java 的 安全 设置 

在 正 浏 览 器 中 也 可 以 对 Java 的 使 用 进行 限制 , 具 
体 实 施 步骤 如 下 。 




















8 网 | 
š SB 
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È 
= 








(1) 打开 下 浏览 器 , 选择 【工具 ] [Internet 选项 】 Ты 
命令 。 92522 jJ 
OA 
(2) 在 所 打开 的 对 话 框 中 ， 选 择 【安全 】 选 项 卡 。 





(3) 单 击 选项 卡 上 方 列 表 中 的 mtemet 图 标 (地 球 标 
志 )， 代 表 要 设置 整个 IE 的 安全 设置 。 

(4) 单 击 选项 卡 下方 的 【 自 定义 级 别 】 按 钮 ， 打 开 
【安全 设置 】 对 话 框 。 

















(5) 移动 对 话 框 的 垂直 滚动 滑 块 ， 直 到 看 到 Na Бестен 
权限 】 选 项 ， 如 图 6.8 所 示 。 L uU 
从 68 中 可 以 下 到 一 共 包 全 5 + о Ба 图 6.8 Java 安全 设置 







置 ， 具 体 设置 参考 实 训 相关 内 容 $ 
村 和 从 要 连 入 Internet 的 两 台 计算 机 都 支持 TCP/PP 
计算 机 上 的 资源 一 样 ， 将 远程 计算 机 上 的 文件 


FTP JR H ТСРДР 的 文件 传输 协议 支持 
协议 ， 运 行 F ”用户 就 可 像 使 
复制 到 自己 大 多 数 提供 FTP 服务 的 站 点 允许 用 户 以 anonymous 作为 用 户 名 登录 (有 
的 站 点 不 需要 输入 账号 名 和 密码 )， 一 旦 登录 成 功 ， 用 户 就 可 以 下 载 文件 。 如 果 服 务 器 安全 
系统 允许 ， 用 户 也 可 以 上 传 文件 ， 这 种 FTP 服务 称 为 匿名 服务 。 网 上 有 许多 匿名 的 FTP JR 
务 站 点 ， 其 上 有 许多 免费 软件 、 图 片 和 游戏 ， 匿 名 FTP 是 人 们 常 使 用 的 一 种 服务 方式 。 匿 
名 FTP 服务 就 像 匿 名 WWW 服务 一 样 是 不 需要 密码 的 , 但 用 户 权力 会 受到 严格 的 限制 。 它 
允许 用 户 访问 FTP 服务 器 上 的 文件 ， 这 时 不 正确 的 配置 将 严重 威胁 系统 安全 。 因 此 ， 需 要 
保证 使 用 者 不 去 申请 系统 上 其 他 的 区 域 或 文件 ， 也 不 能 对 系统 做 任意 的 修改 。 文 件 传输 和 
电子 邮件 一 样 会 给 网 上 的 站 点 带 来 不 受 欢迎 的 数据 和 程序 。 首 先 文件 传输 可 能 会 带 来 特 洛 
伊 木马 ， 这 会 给 站 点 以 毁灭 性 的 打击 。 其 次 会 给 站 点 带 入 无 聊 的 游戏 、 盗 版 软件 及 色情 图 
， 也 会 带 来 时 间 和 磁盘 空间 的 消耗 ， 还 可 能 会 造成 拒绝 服务 攻击 。 匿 名 FTP 服务 的 安 
全 在 很 大 程度 上 取决 于 一 个 系统 管理 员 的 水 平 。 一 个 低 水 平 的 系统 管理 员 很 可 能 会 错误 配 
置 权限 ， 从 而 被 黑客 利用 破坏 整个 系统 。 

安装 TIS 组 件 后 ，FTP 服务 器 就 可 运行 。FTP 站 点 并 不 涉及 复杂 的 安全 性 ， 没 有 太 多 的 应 
程序 和 服务 器 /浏览 器 交互 过 程 。 保 证 FTP 服务 器 安全 的 措施 主要 是 通过 FTP 属性 完成 的 。 
1. 目录 安全 设置 


FTP 用 户 仅 有 两 种 目录 权限 : 读 取 和 写 入 ， 其 中 读 取 权限 对 应 于 下 载 ， 写 入 权限 对 应 
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于 上 传 。FTP 站 点 的 目录 权限 是 对 全 体 访问 该 目录 的 用 户 都 生效 的 权限 ， 即 一 旦 某 个 目录 
设置 为 读 取 权限 ， 则 任何 FTP 用 户 ， 包 括 授权 用 户 都 不 能 进行 上 传 操 作 。 

目录 权限 可 在 FTP 站 点 和 虚拟 目录 两 个 层次 进行 设置 。 在 IIS 管理 界面 ， 右 击 FTP 站 
点 或 虚拟 目录 图 标 ， 选 择 【 属性】 命令， 打开 【站 点 属性 】 对 话 框 或 【虚拟 目录 】 属 性 对 
话 框 ， 选 择 【 主 目录 】 或 【虚拟 目录 】 选 项 卡 。 只 需 选 中 【 读 取 】【 写 入 】 复 选 框 ， 即 可 
间 定 站 点 或 虚拟 目录 的 目录 访问 权限 ， 如 图 6.9 所 示 。 

(1) 本 地 路 径 : 当选 中 【此 计算 机 上 的 目录 】 单 选 按钮 时 ， 单 击 【 浏 览 】 按 钮 选 定 主 
目录 对 应 的 实际 文件 夹 ， 下 方 为 目录 权限 。 

(2) 读 取 : 允许 下 载 存 储 在 主 目录 的 文件 。 

(3) 写 入 : 可 以 将 文件 上 传 到 站 点 的 主 目录 。 

(4) 日 志 访问 ， 设置 此 目录 的 访问 记录 存储 在 日 志文 件 。 
(5) 目录 列表 风格 : 当 进 入 站 点 后 ， 目 录 显 示 的 Санал, 默认 为 
MS-DOS 风格 。 

2. 用 户 验证 控制 
可 设置 是 否 允许 匿名 方式 访问 , 在 
允许 匿名 连接 】 复 选 框 ， 则 要 求 只 











ЕТТЕГІ ЕН, 若 不 选中 【只 
的 用 户 提供 正确 的 用 户 名 和 密码 后 才 可 访问 。 










Ny 





MESO 一 一 一 一 一 一 一 一 一 一 一 
这 振江 名 访问 此 资源 时 使 用 的 Windows APRS. 


ЖРБ: pe жа. 
жыр) |... 
тд 





mamn 

ER FTP 站 点 将 泊 作 员 权 限 授 Tindows 用 户 帐号 

WERD: ынна жаш... 
ERG 
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图 6.9 【 主 目录 】 选 项 卡 图 6.10 【安全 账号 】 选 项 卡 
3. IP 地 址 限制 访问 


可 以 允许 或 拒绝 指定 IP 地 址 的 主机 的 访问 。 用 户 使 用 【目录 安全 性 】 选 项 卡 就 能 够 设 
置 访问 限制 ， 添 加 地 址 授予 访问 或 拒绝 访问 站 点 的 权限 ， 如 图 6.11 所 示 。 

在 图 6.11 中 选择 添加 站 点 限制 访问 的 方式 时 ， 选 中 【授权 访问 】 或 【拒绝 访问 】 单 选 
按钮 ， 单 击 【添加 】 按 钮 ， 打 开 【 拒 绝 以 下 访问 】 对 话 框 。 在 该 对 话 框 中 选择 限制 的 类 型 
为 单机 、 一 组 计算 机 和 域名 ， 然 后 输入 拒绝 访问 的 地 址 ， 单 击 【确定 】 按 钮 即 可 添加 访问 
的 限制 条 件 。 


в 




















第 6 章 Internet 应 用 服务 安全 










Еа реве 
m 站 点 | 安全 帐号 | 消息 “| 主 目录 “目录 安全 性 | 


TCP/IP 访问 限制 
默认 情况 下 ， 所 有 计划 机 格 被 : gj с 授权 访问 @) 


мж urama: B Сон 
ГІР 地 址 ЕНӘ) | 
ГӘН” 二 一 GARD) mon 


Т mw | 
ETE 











611 【目录 安全 性 ] 1 


4， 其 他 安全 措施 x 
当 运行 FTP 服务 器 时 ， Te тла, 


(1) 一 定 要 确保 FTP 用 户 无 法 进 Ot 目录 以 外 的 目录 ， 同 时 要 使 用 NTFS 来 保 
证 服务 器 的 安全 。 

(2) 避免 使 用 远程 虚拟 目录 
属性 页 的 用 户 名 和 密码 ， 这 

(3) 一 定 要 启动 日 起 记 3 
时 发 现 可 疑 活动 。 А. 

(4) ШИТ FTP 服务 器 ， 放 端 口 20 和 端口 21。 

(5) 全 面 测试 人 TP 服务 器 ， 并 设法 找到 所 有 的 漏洞 。 









Ре Н жі 档 时 ， 总 是 要 求 其 提供 输入 到 
可 能 绕 过 访问 控制 表 。 
НЕ, ХЕН S i 看 器 中 查找 没有 成 功 的 登录 信息 ， 及 







64 ”电子 邮件 服务 的 安全 


E-mail 功能 的 强大 在 于 不 仅 能 够 传输 文字 、 图 像 、 声 音 ， 还 能 够 传输 计算 机 程序 ， 并 
且 配 合 专门 的 软件 运用 语言 和 动态 图 像 , 使 邮件 有 声 有 色 ; 同时 它 传输 快 、 价 格 低 。 在 Web 
上 上， 应 用 E-mail 可 以 方便 地 访问 Web 网 页 ， 并 向 管理 员 发 送 E-mail。 但 电子 邮件 系统 十 分 
脆弱 ， 从 浏览 器 向 Internet 上 的 另 一 用 户 发 送 E-mail 时 ， 不 仅 信件 像 明信片 一 样 是 公开 的 ， 
而 且 也 无 法 知道 在 到 达 其 最 终 目的 之 前 ， 信 件 经 过 了 多 少 机 器 转发 。 邮 件 服务 器 可 以 接收 
来 自任 意 地 点 的 任意 数据 ,所 以 任何 人 只 要 可 以 访问 这 些 服务 器 或 访问 E-mail 经 过 的 路 径 ， 
就 可 以 阅读 这 些 信息 。 

除 此 之 外 ， 电 子 邮 件 附 着 的 Word 文件 和 其 他 文件 有 可 能 会 带 有 病毒 。 


64.1 E-mail 工作 原理 及 安全 漏洞 


一 个 邮件 系统 的 传输 包含 了 邮件 用 户 代理 (Mail User Agent, MUA)、 邮件 传输 代理 (Mail 
Transfer Agent，MTA) 两 大 部 分 。 
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邮件 用 户 代理 是 一 个 用 户 端 软件 ， 是 可 用 来 发 信 、 读 信 、 写 信 、 收 信 的 程序 ， 负 责 将 
信件 按照 一 定 的 标准 包装 ， 然 后 送 至 邮件 服务 器 ， 将 信件 发 出 或 由 邮件 服务 器 收回 。 常 
的 MUA 有 在 Windows 环境 使 用 的 Outlook Express、Foxmail Netscape、Messenger 等 ， 
有 在 UNIX/Linux 环境 下 使 用 的 mail、pine、mailx、elm 等 。 

8 件 传输 代理 则 是 在 服务 器 端 运行 的 软件 ， 负 责 信件 的 交换 和 传输 ， 将 信件 传送 至 适 
当 的 邮件 主机 ， 再 由 接收 代理 将 信件 分 发 至 不 同 的 用 户 信箱 。 传 输 代理 必须 要 能 够 接收 
户 邮 件 程序 送 来 的 信件 ， 解 读 收 信人 的 地 址 ， 根 据 简 单 邮件 传输 协议 (SMTP，Simple Mail 
Transport Protocol) 或 者 因特网 邮件 多 用 途 网 际 邮件 扩充 协议 (MIME，Maultipurpose Internet 
Май Extensions) 标 准 ， 将 它 正确 无 误 地 传递 到 目的 地 。 现 在 一 般 的 传输 代理 在 Windows Ж 
境 中 采用 Exchange Server, 7E UNIX/Linux 环境 中 采用 Send: Postfix、Qmail 等 程序 完 
成 工作 ， 邮 件 主 机 在 经 接收 代理 POP(Post Office "ч ` н 
使 邮件 被 用 户 读 取 。 

1. 本 地 邮件 传递 


(1) 若 电子 邮件 sas rana say Kan Жу нее 则 客户 端 软件 MUA) 
利用 TCP 连接 端口 , 将 电子 邮件 发 送 器 , 然后 这 些 信息 会 先 保存 在 邮件 队列 中 。 
(2) 经 过 邮件 服务 器 的 判断 ， Е 于 本 地 网 络 中 的 用 户 ， 这 些 邮 件 就 会 直接 
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发 送 到 接收 者 的 邮箱 。 
(3) 收 信人 利用 РОР ра pth 到 邮件 服务 器 下 载 或 直接 读 取 电 
子 邮 件 ， te 如 图 6.12 
%- к 





> 


TCP25 





内 部 网 络 


图 6.12 本 地 邮件 传递 

2. 远程 邮件 传递 

(1) 客户 端 软件 MUA) 利 用 TCP 连接 端口 ， 将 电子 邮件 发 送 到 本 地 邮件 服务 器 ， 然 后 
这 些 信息 会 先 保存 在 邮件 队列 中 。 

(2) 经 过 邮件 服务 器 的 判断 ， 如 果 接收 者 属于 远程 网 络 中 的 用 户 ， 则 会 向 DNS 服务 器 
请 求解 析 远 程 邮 件 服务 器 的 ТР 地 址 。 

(3) 若 域名 解析 失败 ， 则 无 法 进行 邮件 的 传递 。 若 成 功 解析 域名 ， 则 本 地 的 邮件 服务 
器 (MTA) 将 利用 SMTP 通信 协议 将 邮件 转发 到 远程 邮件 服务 器 上 。 
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(4) 若 远程 邮件 服务 器 目前 无 法 接收 邮件 ， 则 这 些 邮 件 会 继续 保留 在 邮件 队列 中 ， 然 
后 在 指定 的 重 试 间隔 内 再 次 尝试 发 送 ， 直 到 成 功 或 放弃 发 送 为 止 。 

(5) 车 成 功 发 送 ， 收 信人 可 利用 POP 或 IMAP 的 通信 协议 软件 ， 连 接 到 邮件 服务 器 下 
载 或 直接 读 取 电子 邮件 ， 整 个 邮件 传递 过 程 完成 ， 如 图 6.13 所 示 。 











DNS 服务 器 


域名 解析 








SMTP 
邮件 服务 器 РЕЛЕ 


REA Хы 
к.а 


综合 以 上 两 种 不 同形 式 的 电 ro 可 知 完整 的 电子 邮件 传递 过 程 , 如 图 6.14 











图 6.14 ”完整 的 电子 邮件 传递 过 程 
642 жеме 
1. E-mail 的 漏洞 


E-mail 在 Internet 上 传送 时 , 会 经 过 很 多 中 间 结 点 ， 如 果 中 途 没有 什么 阻止 它 ， 最 终 会 
到 达 目 的 地 。 信 息 在 传送 过 程 中 通常 会 做 几 次 短暂 停留 ， 因 为 其 他 的 E-mail 服务 器 会 查看 
信 头 ， 以 确定 该 信息 是 否 发 给 自己 ， 如 果 不 是 ， 服 务 器 会 将 其 转送 到 下 一 个 最 可 能 的 地 址 ， 
它 是 一 个 存储 转发 系统 。 





Fs 


E-mail 服务 器 有 一 个 路 由 表 ， 其 中 列 出 了 其 他 E-mail 服务 器 的 目的 地 址 。 当 服务 器 读 
完 信 头 ， 意 识 到 邮件 不 是 发 给 自己 时 ， 它 会 迅速 将 信息 送 到 目的 地 服务 器 或 离 目的 地 最 近 
的 服务 器 。 
E-mail 服务 器 向 全 球 开 放 ， 很 容易 受到 黑客 袭击 ， 从 而 暴露 隐私 。Web 提供 的 阅读 器 
更 容易 受到 这 类 侵扰 。 与 标准 的 基于 文本 的 Internet 邮件 不 同 ，Web 上 的 图 形 接口 需要 执 
行 脚本 或 Applet 才能 显示 信息 。 例 如 ， 在 一 条 信息 中 加 进 了 一 个 小 的 脚本 ， 并 发 给 公司 内 
的 每 一 个 用 户 。 这 个 脚本 在 信息 中 作为 一 个 小 图 标 ， 双 击 这 个 图 标 ， 就 会 打开 一 个 小 程序 ， 
重新 映射 驱动 器 ， 并 安装 想 要 发 布 的 应 用 程序 。 这 个 步骤 在 很 多 组 织 中 采用 ， 但 可 能 有 人 
欺骗 邮件 记录 ， 改 变 信件 头 ， 将 同样 的 信息 发 出 ， 而 与 信息 中 携带 的 图 标 相 联系 的 脚本 却 
发 生 了 改变 。 即 使 防火 墙 也 不 可 能 识别 所 有 恶意 的 Applet KA 最 多 只 能 滤 去 邮件 地 址 


中 有 风险 的 字符 。 

2， 匿 名 转发 & 

在 正常 的 情况 下 ， 发 送 电子 邮件 会 尽量 将 发 送 畴 的 名 字 和 地 址 包括 进 邮件 的 附加 信息 
中 。 但 有 时 发 送 者 希望 将 邮件 发 送出 去 件 者 知道 是 谁 发 的 。 这 种 发 送 邮件 的 
方法 被 称 为 匿名 邮件 。 а а 发 法 是 简单 地 改变 电子 邮件 软件 里 发 送 者 
的 名 字 。 但 这 是 一 种 表面 现象， 害 息 表 头 中 的 其 他 信息 ， 仍 能 够 跟踪 发 送 者 。 而 
让 发 送 者 的 地 址 ;5 ыы ЕНДІ ӘЖ КШМ, ШЕРІН 
信 ser n, LE Internet ФЕ ACO ЕЛПЕ ТЕТЕ 


件 服务 器 )， 发 送 者 将 邮件 发 送 给 匿名 邮件 转发 崔 尺 并 告诉 这 个 邮件 希望 发 送 给 谁 。 该 匿名 
转发 器 如 去 所 有 的 返 刁 地 址 信息 ， FRAR 的 收 件 者 ， 并 将 自己 的 地 址 作为 返回 地 址 揪 
入 邮件 中 。 J "š же 


3. Е-тай 
E-mail 诈骗 是 Internet 上 应 该 特别 注意 的 风险 。 这 些 行为 不 是 新 花样 ,而 是 以 前 那 种 普 
通 邮 信 、 赠 券 之 类 搞 诈骗 的 伎俩 在 Internet 上 的 翻版 。Web 强大 的 功能 和 它 在 整个 世界 市 
场 上 的 传播 力 ， 在 为 人 们 创造 利益 的 同时 ， 也 会 引起 一 些 不 法 分 子 的 青睐 ， 有 的 发 布 虚假 
广告 ， 有 的 在 Web 上 散布 假 金融 服务 ， 制 造 高 科技 投资 机 会 ， 有 的 还 招揽 竞 赌 客户 ， 通 过 
Web 在 其 他 国家 辖区 的 服务 器 上 参加 赌博 :有 的 骗取 钱财 等 。Intemet 是 一 个 开放 的 系统 ， 
接纳 好 人 也 接纳 坏人 ， 真 伪 并 存 。 浏 览 器 或 Web 服务 器 都 面临 着 欺诈 的 风险 。 认 识 到 这 一 
事实 ， 用 户 就 要 慎重 对 待 所 有 潜在 客户 在 网 页 上 的 广告 和 可 能 发 布 的 E-mail。 

常见 的 E-mail 欺骗 行为 有 以 下 两 种 。 

(1) E-mail 宣称 来 自 系统 安全 管理 员 , 要 求 用 户 将 他 们 的 密码 改变 为 特定 的 字符 , 并 威 
胁 如 果 用 户 不 照 此 办 理 ， 将 关闭 用 户 账号 。 

(2) E-mail 宣称 来 自 上 级 管理 员 ， 要 求 用 户 提供 密码 或 其 他 敏感 信息 。 
于 简单 邮件 传输 协议 (SMTP) 没 有 验证 系统 , 伪造 E-mail 十 分 方便 。 站 点 允许 任何 人 
都 可 以 与 SMTP 端口 联系 ， 并 可 以 用 虚构 的 某 人 的 名 义 发 出 E-mail。 黑 客 在 发 出 欺骗 性 的 
E-mail 的 同时 ， 还 可 能 修改 相应 的 Web 浏览 器 界面 , 所 以 应 花 一 些 时 间 查 看 E-mail 的 错误 
信息 ， 其 中 经 常会 有 闻 入 者 的 线索 。 
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4. 垃圾 邮件 


电子 邮件 龙 炸 可 以 描述 为 不 停 地 接 到 大 量 的 、 同 一 内 容 的 电子 邮件 ， 在 短 时 间 内 ， 一 
条 信息 可 能 被 传 给 成 千 上 万 的 用 户 。 垃 圾 邮件 造成 的 主要 风险 来 自 于 电子 邮件 服务 器 ， 如 
果 服 务 器 很 多 ， 服 务 器 会 掉 线 ， 甚 至 导致 系统 崩溃 。 系 统 不 能 提供 服务 的 原因 很 多 ， 可 能 
由 于 网 络 连接 超载 ， 也 可 能 由 于 缺少 系统 资源 。 对 付 电子 邮件 垃圾 可 以 借助 防火 墙 ， 阻 止 
恶意 信息 产生 或 者 过 滤 掉 一 些 电 子 邮件 ， 以 确保 所 有 的 外 部 的 SMTP 只 连接 到 电子 邮件 服 
务 器 上 ， 而 不 连接 到 站 点 的 其 他 系统 上 ， 从 而 将 电子 邮件 禾 炸 的 损失 减 小 到 最 小 。 如 果 发 
现 站 点 正 遭 受 侵 餐 ， 应 试 着 找 出 禾 炸 的 来 源 ， 再 用 防火 墙 进行 过 滤 。 
6.4.3 ”安全 措施 

为 提高 电子 邮件 的 安全 ， 可 在 邮件 服务 器 上 建立 作 的 安全 模式 ， 将 安全 策略 施 
MEREU, TN ETENEE SEN MURRA ER ET 
邮件 的 安全 。 55 
oo ei ЕЛЕКТІ ІІІ 
Зра T ABAE ERIE A AEB PEERAGE RA RE АЦЕ, WRA. 

ee 
ЛІ et 上 传送 的 电子 邮件 ， 多 采用 
рар 加 密 传 送 ， 并 同时 进香 星 史 签名 。 加 密 时 使 鲜 盆 开 的 密 钥 加 密 ， 在 收 信 端 用 秘密 密 钥 
字 答 名， 用 公开 密 贸 进 行 数字 签名 验证 。 

G) 在 邮件 ae en et ss 
нше le шати 接收 正常 的 邮件 ， 减 少 邮件 使 用 的 费用 。 

(а) 检查 电 闻 邮件 的 来 源 ， 进 行 邮件 完整 性 检测 ， 查 看 邮件 是 否 被 非法 更 改 。 

(5) 检查 电子 邮件 是 否 感染 病毒 ， 以 便 采用 相应 的 方法 进行 诊断 和 消除 。 

(6) 将 转发 垃圾 邮件 的 服务 器 放 到 “ 黑 名 单 ” 中 进行 封 堵 ， 该 服务 器 将 无 法 与 其 他 邮 
件 服务 器 传递 邮件 。 


6.4.4 115-5МТР 服务 安全 


在 IIS 中 的 提供 的 邮件 服务 只 是 虚拟 的 SMTP 邮件 服务 器 ， 它 可 将 Web 站 点 传送 的 邮 
件 转送 到 真正 的 邮件 服务 器 。 微 软 真 正 的 邮件 服务 器 产品 是 Exchange Server 2000, SMTP 
虚拟 邮件 服务 使 用 IMS (Internet Май Service) 连接 到 Exchange Server， 若 传送 的 邮件 属于 
内 部 邮件 ， 就 直接 存 入 Exchange Server 用 户 的 邮箱 中 ， 和 否则 ， 转 送 到 Internet 上 。 提 高 
П5-5МТР 服务 安全 可 在 SMTP 属性 页 中 进行 设置 ， 具 体 可 采取 以 下 措施 。 


1. 在 【常规 〗 选 项 卡 中 设置 
【常规 】 选 项 卡 指定 SMTP 虚拟 服务 器 的 名 称 和 IP 地 址 ， 接 收 和 发 送 连接 的 方式 ， 是 
否 使 用 系统 记录 文件 ， 如 图 6.15 所 示 。 
























































































































图 6.15 


(1) 名 称 : SMTP 虚拟 服务 器 的 名 称 。 

(2) IP 地 址 ， 虚拟 服务 器 的 IP 地 址 。 

(3) 连接 :连接 虚拟 服务 器 的 连 И 【连接 】 按 钮 可 以 看 到 设置 的 对 话 框 ， 
对 各 字段 的 说 明 如 下 。 әрі 


© ел. 虚拟 服务 器 收 信 ， 包 括 最 接 数 和 等 待 连接 的 秒 数 。 


@ еш: 虚拟 服务 器 коа (6! 口号 默认 为 25) 包 括 最 大 连接 数 、 
— 2. posan 
(4) Sp ng 并且 设置 使 用 的 记录 文件 格式 ， 一 般 应 


ж кета а 
2 在 【 选项 卡 中 设置 


【访问 ] 选 项 卡 指定 文件 夹 的 保密 权限 , 可 以 限制 其 他 计算 机 、 网 络 或 用 户 的 访问 权限 ， 
如 图 6.16 所 示 。 





图 6.16 【访问 】 选 项 卡 


(1) 访问 控制 : 
(2) 安全 通讯 : 
(3) 连接 控制 : 
(4) 中 继 限制 : 


邮件 转 寄 的 用 户 权 限 。 


设置 是 否 使 用 Transport Layer Security (TLS) 加 密 方 式 传送 邮件 。 


限制 使 用 SMTP 虚拟 服务 器 的 他 地 
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上 和 域名 。 











添加 允许 或 不 允许 转 寄 信息 的 耳 地 址 和 域名 。 


3. 在 【邮件 】〗 选 项 卡 中 设置 


【邮件 】 选 项 卡 可 以 设置 邮件 本 身 的 相关 参数 ， 如 图 6.17 所 示 。 





确 的 电子 邮件 地 址 。 
(6) 死 信 目 录 : 





ЕНЕШТІТІРІІЗ 


жя | 访问 ын | 传递 |шене|жғ | 








х 2 图 647 I 
a) жиен з R КИЕ D: 收 到 的 邮件 信息 超过 【限制 邮件 大 小 为 】 


о 不 超过 【限制 会 证 舌 小 为 】 文 本 框 中 数值 时 依然 会 处 理 。 

D 限制 会 话 大 小 为 ， 整 个 连接 工作 资料 的 最 大 量 ， 若 超过 就 会 自动 关闭 连接 。 

(3) 限制 每 个 连接 的 邮件 数 为 :设置 在 一 个 连接 的 情况 下 ， 最 大 的 邮件 数 。 

(а) 限制 每 个 邮件 的 收 件 人 数 为 ; 指定 同一 封 邮件 的 收 件 人 数 ， 默 认为 100 位 。 

(5) 将 未 发 送 报告 的 副本 发 送 到 : 如 果 邮 件 无 法 转 寄 ， 就 送 到 此 邮件 地 址 ， 须 输入 正 





无 法 转 寄 的 邮件 退回 后 存储 的 文件 夹 











4. 在 【传递 〗 选 项 卡 中 设置 


【传递 】 选项 卡 可 以 设置 关于 SMTP 虚拟 服务 器 邮件 寄 送 的 相关 设置 , 前 面 设置 过 部 分 
选项 ， 如 图 6.18 所 示 。 

(1) 出 站 : 重新 尝试 的 间隔 时 间 ， 可 以 有 4 次 不 同 的 

(2) 本 地 : 本 地 网 络 设置 ， 延 迟 通知 传递 延迟 的 时 间 ， 以 便 传递 无 法 寄 送 的 通知 ， 过 





期 超时 未 传递 邮件 的 等 待 时 间 。 


(3) 出 站 安全 : 




















间隔 时 间 。 





设置 SMTP 虚拟 服务 器 在 转送 给 其 他 服务 器 时 需要 的 认证 或 证 书 。 单 
击 【 高 级 】 按 钮 ， 可 以 看 到 高 级 发 送 对 话 框 ， 对 各 选项 的 说 明 如 下 。 












图 6.18 ме Қар 


O 最 大 跳 数 : 一 封 邮件 寄 达 目 ЖЕ pan. 此 值 表示 最 多 可 以 有 几 
台 服 务 器 。 
© 虚拟 域 :设置 取代 邮件 显示 
(4) 对 传 入 的 邮件 执行 反 向 D: 
发 件 人 计算 机 寄 出 的 


5. 在 【安全 】 аА 
AU (226213 и SMTP Ке 如 图 6.19 所 示 。 主 要 用 于 
Dlo 


指定 SMTP 虚拟 用 权限 ， so 

(1) IIS 虚拟 服务 器 在 同一 种 主机 且 使 用 相同 的 人 P 地址 :不 需 指定 用 户 的 权限 
就 可 以 使 用 虚拟 服务 器 。 

(2) IIS 和 SMTP 虚拟 服务 器 不 在 同一 台 计 算 机 : 这 台 远 程 的 SMTP 虚拟 服务 器 需要 单 
击 【 添 加 】 按 钮 添加 用 户 ， 才 能 使 用 虚拟 服务 器 转 寄 邮 件 。 


aa 决定 邮件 是 否 真 的 是 











图 6.19 【安全 】 选 项 卡 
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Outlook Express 安全 
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6.5 501 Server 2000 安全 


MS SQL Server 起 源 于 Sybase, 是 基于 Windows NT 的 C/S 结构 大 型 关系 数据 库 管理 系 
统 ， 是 业界 领先 的 数据 库 管 理 系统 之 一 ， 应 用 也 非常 广泛 ， 是 微软 Back Office 的 核心 组 成 
部 分 ， 很 多 电子 商务 网 站 、 企 业内 部 信息 化 平台 等 都 是 基于 SQL Server 运行 的 。 
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6.5.1 身份 认证 模式 

І. 账号 与 认证 

SQL Server 2000 安装 完毕 后 ， 在 系统 内 将 创建 3 个 账号 。 

(1) BUILTIN\Administrators: 此 账号 是 属于 在 Windows 2000 中 Administrator 组 的 登录 
号。 在 此 组 内 的 账号 都 可 以 登录 到 SQL Server 中 (该 账号 必须 与 Windows 2000 NT 账号 
配合 使 用 )。 
(2) KG_TR_MIS\ Administrator: 此 账号 是 可 以 让 在 Windows 2000 中 的 Administrator 
号 来 登录 。 在 此 组 内 的 账号 都 可 以 登录 到 SQL Server 中 (该 账号 必须 与 NT 的 账号 配合 
使 用 )。 
(3) sa(system administrator): 此 账号 是 系统 管理 员 ， 但 是 拥有 此 账号 的 用 户 
并 不 代表 就 是 Windows Server 2000 的 管理 员 ， 并 且 没有 密码 。 

从 版 本 7.0 起 ，SQL Server 就 依赖 于 Windows: 认证 ， 用 户 不 必 提 供用 户 名 和 密 
15 SQL Server。 检 测 当前 使 用 的 Windows пф. 并 在 syslogins 表 中 查找 该 用 户 ， 以 
确定 该 用 户 是 否 有 权限 登录 。 用 该 方式 连接 称 为 可 信和 连接 。 对 于 该 认证 模式 SQL 
Server 从 RPC 连接 中 自动 获得 登录 indows 2000 用 户 账号 信息 ， 而 用 户 必须 使 用 


RPO 连接 登录 SQL Server 连 议 中 的 Multi_protosot 和 命名 管道 自动 使 用 RPC。 客 户 
合法 的 用 й ое 2 ЕН) Y Guest 账号 。 

P: SO pn se TLM 或 者 Kerberos 认证 协议 ， 则 由 
Windows 2000 же) ткен 库 用户 名 和 密码 ， 与 存放 在 master 数据 
库 的 syslogins 4 жене 897 通过 该 方式 建立 的 连接 称 为 不 可 信 连 接 ， 身 
份 认证 模式 刀 21 所 示 ，SQL Server 的 认证 过 程 如 图 6.22 所 示 。 


客户 连接 请 求 
Windows 2000 
认 让 模式 


Ə SQL Serves zJ 
ра а) отаи 
ит 2000 用 户 账 户 ? 
C Wrdows SORTE 


W ub K 
用 户 连 ЧА ЕЙ 
46 SOL Server 81838180) У 
araU һа 


SBE |. uU 
а= ка (22 SQL Serve 接 受用 户 连 接 
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图 6.21 身份 验证 模式 6.22 501 Server 的 认证 过 程 
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2. 文件 权限 


如 果 是 安装 在 NTFS 格式 的 文件 系统 上 ，SQL Server 2000 的 安装 过 程 中 会 自动 设置 目 
录 和 注册 表 的 权限 , 默认 安装 到 С :\program Files\Microsoft SQL Serve \MSSql 目录 , 只 有 服 
务 启动 账号 (一 般 是 local system) 和 本 地 Administrators 组 有 完全 控制 ， 其 他 人 没有 权限 。 
s 3. 安全 审计 

SQL Server 内 置 审计 机 制 ， 可 以 审计 所 有 权 
限 的 使 用 ， 审 计 组 件 包括 以 下 两 项 。 

1) SQL Trace 

SQL Trace 器 端 跟踪 工具 。 当 SQL 
Server 中 所 有 可 上 4 事件 发 生 时 ， 就 会 通 甸 
SQL Trace， 了 审计 功能 ， 就 会 跟踪 所 有 对 
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Profiler 是 一 个 图 形 化 的 工具 ， 是 SQL 

е 的 客户 端 ， 它 能 查看 所 有 的 审计 记录 文件 ， 

图 6.23 审核 事件 并 可 以 进行 查找 和 保存 ， 设 置 审 核 事 件 的 方式 如 
图 6.23 所 元 


启用 SQL Server (8 ИЕ, «ПАНЫ i 


Exec sp E gor Le Е: т 





гесо гё 
PEPE am 这 样 就 会 在 т Server 的 DATA 目录 中 产生 一 个 tre 文件 ， 记 
录 下 事件 。 用 SQL Profile 打开 跟踪 记录 文件 可 以 看 到 非常 详细 的 信息 ， 如 登录 机 器 、 登 录 
名 、 是 否 成 功 等 ， 如 图 6.24 所 示 。 
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图 6.24 SQL 事件 探查 器 
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4. 文件 加 密 

SQL Server 2000 支持 Windows 2000 的 EFS(Encrypted File System) 文 件 加 密 , 但 必须 
SQL Server 服务 启动 的 账号 进行 加 密 ， 否 则 将 导致 SQL Server 不 能 正常 启动 。 另 外 如 果 要 
修改 SQL Server 服务 启动 账号 ， 要 先 用 原来 账号 进行 解密 ， 然 后 再 用 新 账号 进行 加 密 。 

5. 传输 加 密 

SQL Server 2000 支持 SSL 加 密 。 要 使 用 SSL 加 密 ， 需 要 在 SQL Server 服务 器 上 使 用 
Microsoft Internet Explorer 或 MMC Certificate Snap-in 等 工具 安装 数字 证 书 ， 而 且 这 个 证 书 
必须 以 服务 器 的 完整 的 DNS 名 字 申 请 。 

如 果 在 服务 器 端 配 置 成 SSL 加 密 ， 则 所 有 和 该 服务 器 传输 都 被 加 密 ， 但 是 所 有 不 能 和 
该 服务 协商 SSL 会 话 的 连接 请 求 都 被 拒绝 。 ж 


652 ”安全 配置 Sk: 
前 面 讨论 了 SQL Server 2000 пень 了 数据 库 中 的 数据 ,不 仅 要 好 好 地 利 


这 些 功 能 ， 同 时 也 要 采取 一 定 的 安全 配 
在 进行 SQL Server 2000 数据 库 配置 之 前 ， 首 先 必须 对 操作 系统 进行 安全 配置 ， 












































保护 操作 系统 处 于 安全 状态 。 然 后 列 用 的 操作 数据 库 软件 (程序 ) 进 行 必要 的 安全 审核 。 
比如 ，ASP、PHP 等 基于 数据 库 b 应 用 程序 常 企 隐 患 ， 对 于 这 些 脚本 主要 是 一 
个 过 滤 问 题 ， 





滤 一 些 
意 的 SQL 语句 ， А вн 2000 后 要 
1. EMS брая ж. 
密码 策 条 安全 配置 的 第 一 步 ， /这 是 因为 很 多 数据 库 账号 和 密码 过 于 简单 。 对 于 
数据 库 管理 员 (sa) 更 应 该 注意 ， 不 要 让 sa 账号 的 密码 写 在 应 用 程序 或 者 脚本 中 。 同 时 养 成 
定期 修改 密码 的 好 习惯 ， 数 据 库 管理 员 应 该 定期 查看 是 否 有 不 符合 密码 要 求 的 账号 ， 这 时 
可 使 用 下 面 的 SQL 语句 : 


Use master 
Select name,password from syslogins where password is null 


人 ас /” 等 的 字符 ， 防 止 破坏 者 构造 亚 
填补 丁 。 











2 使 用 安全 的 账号 策略 


于 SQL Server 不 能 更 改 sa 用 户 名 称 ， 也 不 能 删除 这 个 超级 用 户 ， 所 以 必须 对 这 个 账 
号 进行 最 强 的 保护 , 也 包括 使 用 一 个 非常 强壮 的 密码 。 最 好 不 要 在 数据 库 应 用 中 使 用 sa 账号 ， 
只 有 当 没 有 其 他 方法 登录 到 SQL Server 实例 (例如 ， 当 其 他 系统 管理 员 不 可 用 或 忘记 了 密码 ) 
时 才 使 用 sa。 建 议 数据 库 管 理 员 新 建立 一 个 拥有 与 sa 一 样 权限 的 超级 用 户 来 管理 数据 库 。 

SQL Server 的 认证 模式 有 Windows 身份 认证 和 混合 身份 认证 两 种 。 如 果 数 据 库 管理 员 
不 希望 操作 系统 管理 员 通 过 操作 系统 登录 来 接触 数据 库 ， 可 以 在 账号 管理 中 把 系统 账号 
“BUILTIN\administrators” 删 除 。 不 过 这 样 做 的 结果 是 一 旦 sa 账号 忘记 密码 ， 就 没有 办 法 
来 恢复 了 。 
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很 多 主机 使 用 数据 库 只 是 用 来 做 查询 、 修 改 等 简单 操作 ， 应 根据 实际 需要 分 配 账号 ， 
并 赋予 仅仅 能 满足 应 用 要 求 和 需要 的 权限 。 比 如 只 要 查询 功能 ， 就 分 配 一 个 简单 的 public 
账号 即 可 。 

3. 加 强 数据 库 日 志 的 记录 

审核 数据 库 登 录 事件 的 “失败 和 成 功 ”， 在 实例 属性 中 选择 “安全 性 ”， 将 其 中 的 审核 
级 别 选 定 为 全 部 ， 这 样 在 数据 库 系 统 和 操作 系统 的 日 志 里 面 ， 就 详细 记录 了 所 有 账号 的 登 
录 事 件 。 应 定期 查看 SQL Server 日 志 检查 是 否 有 可 疑 的 登录 事件 发 生 ， 或 者 使 用 DOS fr 
令 “findstr/c:” 登 录 “d:\Microsoft SQL server MSSQLLOG\*.*”。 

4. 管理 扩展 存储 过 程 

在 管理 扩展 存储 过 程 中 需要 慎重 设置 调用 扩展 存储 这 问 控制 列表 ， 并 删除 不 必 
要 的 存储 过 程 。 因 为 SQL Server 的 系统 存储 过 程 只 是 应 广大 用 户 需求 的 ， 在 多 数 应 
用 中 根本 用 不 到 很 多 的 系统 存储 过 程 ， 所 以 可 删除 未必 要 的 存储 过 程 ， 否 则 有 些 系统 的 存 


储 过 程 很 容易 被 别人 用 来 提升 权限 或 进行 破 
如 果 不 需 要 扩展 存储 过 程 xp_emdshell #9 删除 ， 可 使 用 以 下 SQL 语句 : 


Use master 

























































































































Sp_dropextendedproc "хі е11" 
xp_cmdshell ë BË A Ж ЫНШЫ», л 操作 系统 的 一 个 大 后 门 。 如 果 
需要 这 个 存储 过 程 ， 就 用 居民 名 恢复 过 来 : 
Sp_drope ейргос 'xp_cmdshe “р541170.411" 


GENT ЕНІНЕН же 

SQL Servér 2000 数据 库 系统 本 身 没 有 提供 网 络 连接 的 安全 解决 方法 ， 但 是 Windows 
2000 提供 了 这 样 的 安全 机 制 。 使 用 操作 系统 自己 的 IPSec 可 以 实现 IP 数据 包 的 安全 性 。 对 
IP 连接 进行 限制 ， 只 保证 自己 的 IP 能 访问 ， 也 拒绝 其 他 ІР 进行 的 端口 连接 ， 可 对 来 自 网 
络 上 的 安全 威胁 进行 有 效 的 控制 。 

6. 及 时 安装 补丁 

及 时 下 载 最 新 的 补丁 安装 ， 以 提高 系统 的 安全 性 。 

经 过 以 上 的 配置 ， 可 以 让 SQL Server 本 身 具备 足够 的 安全 防范 能 力 。 当 然 ， 更 主要 的 
是 要 加 强 内 部 的 安全 控制 和 管理 员 的 安全 培训 ， 而 且 安全 性 问题 是 一 个 长 期 的 解决 过 程 ， 
还 需要 以 后 进行 更 多 的 安全 维护 。 


























6.6 本 章 小 结 











本 章 对 Internet 主要 的 几 种 网 络 应 用 存在 的 安全 隐患 作 了 简要 分 析 并 以 Windows 系统 
的 IIS 服务 器 为 例 讲述 了 Web 服务 和 FTP 服务 的 基本 安全 配置 方法 ， 以 Internet Explorer 
浏览 器 为 例 介绍 了 网 络 客户 端的 安全 配置 方法 。 本 章 还 介绍 了 电子 邮件 服务 的 安全 问题 并 
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以 应 用 案例 形式 讲述 了 Outlook Express 电子 邮件 客户 端 如 何 实现 邮件 的 加 密 和 数字 签名 。 
本 章 在 最 后 还 讲述 了 SQL Server 数据 库 系 统 的 安全 管理 策略 。 


6.7 本 章 实 训 


实 训 1: Web 服务 安全 












































实 训 目 的 
掌握 Web 服务 器 和 浏览 器 的 安全 设置 。 
实 训 环境 Ж» 
装 有 Windows 2000 操作 系统 并 开通 Web 服务 。 & 
实 训 内 容 5- 
1 实现 身份 验证 和 访问 控制 х 
1) 禁止 匿名 访问 RY 
安装 IIS 后 会 产生 IUSR_C e( 密 码 随机 产生 ) 匿 名 用 户 ， 其 匿名 访问 给 Web 
服务 器 带 来 潜在 的 安全 性 问 是 对 尘 权 限 加 以 控制 匿名 访问 需要 ， 则 取消 Web 的 
匿名 服务 ， 如 图 6.25 72-7 ҳўл. 
2) ІР 地 址 的 控制 
IIS-Web LY і amenar pAn, 有 选择 地 允许 特定 结 点 的 用 户 
ИЛИК, п 这 设置 来 阻止 除 指定 PAEA AAR i Web 服务 器 。 本 例 
中 设置 除 192.188.1.0 网 络 上 的 主机 外 ， 其 他 主机 均 可 访问 本 Web 服务 器 ， 如 图 6.26 所 示 。 
ES | Шт] ы 
па у => 2 
ae ы ада РТ) BURET MMH: g G Бион 
一 例外 ELFAA: 9 с жент 
петер h wasiq (ән Гір BE EDS | emo... 
Матаны = HRW 
I Findows БАНОМИ ЫЕ А) жао. | 
Б 集成 Windovs BEW жас | ЕТІ A === 
确定 Rih 500 
图 6.25 设置 是 否 匿名 访问 图 6.26 [IP 地 址 及 域名 限制 】 对 话 框 


3) 目录 安全 设置 

为 确保 网 站 的 安全 性 , 配置 Web 服务 器 可 以 看 到 的 目录 以 及 相应 的 访问 层次 也 是 很 重 
要 的 。 第 一 次 安装 HS 时 ， 按 照 默 认 设 置 ， 会 自行 创建 一 个 叫做 InetPub 的 目录 ， 接 着 为 其 
提供 的 Internet 服务 生成 根 目录 。Web 服务 器 的 根 目 录 默 认为 wwwroot， 它 应 当 是 主页 所 
在 位 置 (本 例 中 设置 目录 的 访问 权限 为 只 读 访 问 )， 如 图 6.27 所 示 。 
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СТИ 
86.27 【 主 目 Сы 
2. 提高 IE 浏览 器 的 安全 性 


1) 限制 Cookies 使 用 

方法 1: 可 以 删除 Cookies 文件 
如 果 想 禁止 个 别 的 Cookies, 例如 Қыз 
坏 这 些 Cookies， 然 后 把 文 只 读 、 隐 藏 并 且 存 储 文件 。: 
设置 了 这 种 Cookies 的 六 既 不 能 从 ， 也 不 会 传递 新 

方法 2: 通过 27221 Cookies RJ Z ЕЛІН, ТИАН F, 

(1) 在 浏览 ы ГІЛІ | 【In 选项 】 命 令 ， 打开 【Internet 选项 】 对 话 框 ， 选 
择 【 安 全 】 选 如 图 6.28 所 示 ， 单 列表 中 的 Internet 图 标 (地 球 标志 )， 单 击 选项 卡 
下 方 的 【 自 定义 级 别 】 按 钮 。 








в 设置 为 只 读 和 隐 含 。 具 体操 作 方法 是 : 
击 操作 的 C ， 可 以 通过 删除 相应 文件 内 容 来 破 
录 到 <° 
i 息 。 































































(2) 在 弹出 【安全 设置 】 对 话 框 中 ， 移 动 对 话 框 中 的 垂直 滚动 滑 块 ， 直 到 出 现 Cookies 
设置 选项 ， 如 图 6.29 所 示 ， 有 两 个 Cookies 选项 ， 将 其 禁用 即 可 。 
х 
mase pe |же (аж Тан] C пиј 
请 为 不同 区 域 的 vo 内 容 指定 安全 设置 2) аво: 
20% ен 
мы |9, чна ядна E НЕНИИ НА cookies 
Internet Sam m" 
Әрі" тылын 一 - авони cookies ӨЕР) 
== ~ ЕЕ 
Оят 
4 В 
-жанғузт 
重要 为 加 :| 你- 中 本 上 ЖЕФ 
—w | m | 
mis Е) 











8628 【安全 】 选 项 卡 图 6.29 Cookies 安全 设置 
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2) 限制 Active X 的 使 用 
(1) ЎТ ІЕ 浏览 器 。 
(2) 选择 【工具 】|【Intemet 选项 】 命 令 ， 在 打开 的 对 话 框 中 ， 选 择 【 安 全 】 选 项 卡 。 
(3) 单 击 选项 卡 中 的 Internet 图 标 ( 地 球 标 志 )， 如 图 6.28 所 示 , 代表 要 设置 整个 下 的 安 
全 设置 。 
(4) 单 击 选 项 卡 下 方 的 【 自 定义 级 别 】 按 钮 ， 出 现 【 安 全 设置 】 对 话 框 。 
(5) 移动 对 话 框 中 的 垂直 滚动 滑 块 ， 直 到 出 现 【ActiveX 控件 和 插件 】 设 置 选 项 ， 妇 
图 6.30 所 示 。 Жм = 
按 6.2.2 节 的 相关 内 容 设置 该 项 即 可 。 Fe 
3) 设置 Java 的 安全 性 
(1) 打开 下 浏览 器 ,选择 【工具 】|【Internet 选 项】 
命令 。 
(2) 在 所 打开 的 对 话 框 中 ， 选 择 【 安 全 】 L 
(3) 单 击 选项 卡 中 的 Internet 图 标 (地 球 标志 
要 设置 整个 IE 的 安全 选项 。 


(4) 单 击 选项 卡 下 方 的 【 自 定义 乡 es 
【安全 设置 】 对 话 框 。 ED i zaro | 
(5) валани адд 直到 出 现 【Ja 


ат | mw | 
权限 】 设 置 选项 ， ТШ) ст” 
包含 5 个 Java 的 安全 设置 。 2 . Ет 
ТЕТТЕ 图 6.30 Active X 设置 选项 
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© Java 权限 的 权 

限 ， 共 分 为 “高 广 i F”. AE”. “ЕЛ, o IE 默认 设置 是 “中 ”级 ， 用 户 可 以 将 它 设 
Anh “ 自 设置 是 用 户 自己 定义 ava 的 各 个 操作 的 权限 ， 这 是 给 高 级 用 户 使 用 的 ， 
户 不 可 以 使 用 。 
@ Java 小 程序 脚本 ， 是 对 Java Applet 程序 设置 的 。 许 多 网 站 上 都 使 用 Java Applet 作 
为 与 用 户 交互 的 脚本 语言 ， 所 以 IE 的 默认 设置 为 【启用 】 选 项 。 将 它 设 为 【禁用 】 选 项 ， 
将 会 失去 许多 网 站 的 功能 支持 ， 用 户 可 以 自己 考虑 。 
© 活动 脚本 指 是 否 允许 浏览 器 使 用 JavaScript 语言 进行 网 页 的 显示 。 同 样 许多 网 站 上 
都 使 用 Java 作为 与 用 户 交 互 的 脚本 语言 ， 所 以 ТЕ 对 它 的 默认 设置 为 【启用 】 选 项 。 如 果 
户 是 在 聊天 室 ， 就 可 以 将 这 个 功能 设 为 【禁止 】 选 项 ， 以 防止 前 面 讲 述 的 各 种 攻击 。 

а) 允许 脚本 进行 粘贴 操作 ， 这 个 功能 具有 一 定 的 危险 性 , 但 是 它 在 E-mail、 表单 的 操 
作 和 信息 的 提交 中 都 发 挥 着 重要 的 作用 。 用 户 在 不 需要 时 ， 可 以 关闭 这 个 功能 


实 训 2: FTP 服务 安全 
实 训 目的 
掌握 IIS-FTP 服务 的 安全 设置 。 
实 训 环境 
装 有 Windows 2000 操作 系统 并 开通 FTP 服务 。 
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实 训 内 容 


熟悉 FTP 服务 安全 的 设置 方法 。 

(1) 可 设置 是 否 允许 匿名 方式 访问 。 在 图 6.31 所 示 的 【安全 账号 】 选 项 卡 中 ， 若 不 选 
中 【允许 匿名 连接 】 复 选 框 ， 则 要 求 只 有 已 注册 的 用 户 提供 正确 的 用 户 名 和 密码 后 才 可 访 
问 ， 和 否则 拒绝 访问 。 若 选中 【允许 匿名 连接 】 复 选 枉 ， 则 所 有 用 户 均 可 访问 。 

(2) 可 以 允许 或 拒绝 指定 ІР 地 址 的 主机 的 访问 。 使 用 【目录 安全 性 】 选 项 卡 能 够 设置 
访问 限制 , 添加 地 址 授予 访 问 或 拒绝 访问 站 点 的 权限 , 设置 只 允许 192.168.1.0/255.255.255.0 
网 络 中 的 主机 可 访问 FTP 服务 器 ， 如 图 6.32 所 示 。 








21х] 







рр ӘСІЛІ ЕРЕКЕ 


632 【目录 安全 性 】 选 项 卡 


af: 

GFTP Қай 目录 权限 DSA. шына, BABA 
上 传 。FTP W ƏN BRER AINA ЕЗЕН AERIS, MEAN Hati 
БОРАШ, ЖИЕН FTP 用 户 ， 包 括 授权 用 户 都 不 能 进行 上 传 操作 。 图 633 FTP 站 
点 主 目录 设置 权限 为 读 取 和 日 志 访问 。 





633 【 主 目录 】 选 项 卡 
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实 训 3: 电子 邮件 服务 安全 


实 训 目的 


熟悉 ITS-SMTP 服务 的 安全 设置 , 通过 对 Outlook 的 安全 设置 , 掌握 邮件 服务 的 安全 防 
范 措施 。 





实 训 环境 

装 有 Windows 2000 操作 系统 并 开通 IIS-SMTP 服务 的 PC. 

实 训 内 容 

1. 设置 IJIS-SMTP 服务 安全 Ж» 

(1) 在 【常规 】 选 项 卡 中 设置 日 志 记 录 、SMTP JIP, HE 6.34 所 示 。 





























选择 可 访问 此 虚拟 服务 器 的 计算 机 
€ ОЦТУ 0) 
C ОТЕ W 
ра 


















TP 地 址 а 
ісін 100.100.109.0 (255 255 255 0) 





HABERE O 
іс 扩充 日 志文 件 格式 >J ЖЕ... 



















ама, | ант | 
Гея | ww | ти | 
6.34 SMTP 常规 设置 选项 6.35 SMTP 访问 设置 选项 

(3) 在 【邮件 】 选 项 卡 中 设置 限制 邮件 大 小 为 2MB， 每 个 邮件 的 收 件 人 数 为 100 人 及 
死 信 的 目录 ， 如 图 6.36 所 示 。 

2. 设置 Outlook Express 安全 选项 

1) 设置 安全 区 域 

(1) 启动 Outlook Express, TEX $ HE [TA] | DEH] MA, HIL Outlook Express 


的 【选项 】 对 话 框 ， 然 后 选择 【安全 】 选 项 卡 ， 如 图 6.37 所 示 。 
(2) 在 【区 域 】 下 拉 列 表 框 中 ， 用 户 可 以 选择 两 个 选项 。 























й 















zixl 
зя Іон шн [аж uw malse | 首选 参数 | 部件 传送 | 部 件 格式 | 拼写 检查 安全 | 其 好 | 
指定 以 下 消息 信息 安全 电子 邮件 
站 г ЕБОР). 
F 限制 和 件 大 小 为 3) QO: Ee 9 F ladil 
F 限制 会 话 大 小 为 03) р): raw г О, 
F панента W: Б suso: Г] 
Пе Аара ЕА О: ос ЕЕЕ past G) 
安全 内 容 
гез 1222108 
Н Жазығы 
жана: Әне l 
[C Mnetpub\msilroot\Badmai1 ARV. сяо) [9 mmm —Emsama | 
MOREO. 
pea — === 
E| ВИШЊА АЫ Еа PERMANIS. 
APERO.. | тато)... 















图 6.36 5МТР 邮件 设置 选项 


@ Internet 区 域 : 用 户 可 以 使 用 整个 Int 

© 受 限 站 点 区 域 : 用 户 使 用 的 邮箱 忆 
置 指 定 的 IP 地 址 范围 。 
ТЕ 13 zay RAIEN ， 这 是 一 个 高 级 使 用 ， 只 有 


Ей енен Ета 
件 的 未 理 规 刘 


ҚЫШ ы: š lI 件 规则 对 符合 一 证 邮件 进行 操作 。 邮 件 规则 可 以 使 用 户 删除 
垃圾 邮件 、 TAR. TAR паланке 防止 邮件 的 扩散 等 ， 保 证 用 户 邮箱 的 安全 

(1) P Asa k Express, 选择 菜单 中 的 【工具 】|【 规 则 向 导 】 命 令 ， 出 现 【规则 向 
导 】 对 话 框 ， 如 图 6.38 所 示 ， 单 击 【新 建 】 按 钮 。 





指定 的 IP 地 址 范围 内 ， 用 户 可 以 在 IE 中 设 
























(2) 出 现 图 6.39 所 示 的 【创建 何 种 类 型 的 规则 】 列 表 框 ， 选 中 【邮件 到 达 时 检查 】 选 
项 ， 单 击 【下 一 步 】 按 钮 。 
E 了 过 
uransa a az 
ЕГІЗІ 
из... | 
= 
Lmv | ç 
Е 10 Tsw у a 
规则 描述 O БАРВ НА У > 妆 件 到 达 后 应 用 此 规则 
ае | ma |æ | аяо | |Б) қа |<:-:%|т-ғә>)| аж | 














6.38 【规则 向 导 】 对 话 框 图 6.39 【创建 何 种 类 型 的 规则 】 列 表 框 
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(3) 出 现 图 6.40 所 示 的 【 想 要 检测 何 种 条 件 】 列 表 框 ， 选 中 【怀疑 是 垃圾 邮件 或 由 垃 
圾 发 件 人 发 来 】 复 选 框 。 







(4) 单 击 【 垃 圾 发 件 人 】 链接， 出 现 】 对 话 杠 ， 如 图 641 所 示 。 

可 以 在 【键入 名 称 或 从 列表 中 选择 入社 检 中 输入 指定 的 用 户 名 或 者 单 击 【查找 】 按 
钮 ， 在 出 现 的 对 话 框 中 选择 用 户 。 揭 疼 笃 翁 作 人 后 ， 单 击 【 发 件 人 】 按钮 ， 将 发 件 人 添加 
到 列表 中 ， 再 单 击 【确定 】 按 x 

(5) 出 现 【如何 处 理 该 表 框 ， 就 是 1 指定 的 用 户 名 发 来 的 邮件 时 对 
ЕТТЕР ТЭК .42 所 示 ， 以 后 这 个 用 户 发 来 的 邮件 
就 会 被 自动 开除。 Ж 








图 6.41 【规则 地 址 】 对 话 框 642 【如 何 处 理 该 邮件 】 列 表 框 


(6) 可 以 看 到 这 个 规则 已 经 添加 到 列表 中 了 ， 单 击 【 完 成 】 按 钮 ， 出 现 图 6.43 所 示 的 
对 话 框 ， 单 击 【 立 即 运行 】 按 钮 ， 这 个 规则 就 开始 使 用 了 。 


ЕЕЕ 


зімі 
以 下 列 顺 序 应 用 规则 人) - 
маш. 
SHO 
ат а). 
жесе | 
1227) 
F: Tl 1 TEW 
АБЫ ТНУ RE) 
邮件 到 达 后 应 用 此 规则 
RHAH 
RE 


m= же 立即 运行 和 





图 6.43 a 


6.8 本 


1. ж & 
(1) IIS 的 安全 性 设置 包括 3 


和 ; 
(2) IIS 可 以 构建 的 网 名 和 

(3) 安全 审核 系统 是 anA J Ыр ҰНЫНА RERI. 
(4) 共享 权限 只 9) = 设置 。 

(5) ны ІМ, suem ， 密 码 是 

2. 选择 时 入 


(1) 创建 Web 虚拟 目录 的 用 途 是 ( s 
А. 用 来 模拟 主 目录 的 假 文件 夹 
B. 用 一 个 假 的 目录 来 避免 感染 病毒 
С. 以 一 个 固定 的 别名 来 指向 实际 的 路 径 ， 当 主 目 录 改 变 时 ， 相 对 用 户 而 言 是 不 变 的 





















































D. 以 上 都 不 对 

D 若 一 个 用 户 同时 属于 多 个 用 户 组 ， 则 其 权限 适用 原则 不 包括 ( — )。 
А. 最 大 权限 原则 B. 文件 权限 超越 文件 夹 权 限 原则 
C. 拒绝 权限 超越 其 他 所 有 权限 的 原则 D. 最 小 权限 原则 





(3) ЖЕНГЕ 浏览 器 的 安全 措施 不 包括 ( 。”)。 











А. 禁止 使 用 Cookies B. 禁止 使 用 Active X 控件 
с. 禁止 使 用 Java 及 活动 脚本 р. 禁止 访问 国外 网 站 

(4) IIS-FTP 服务 的 安全 设置 不 包括 (  )- 
А. 目录 权限 设置 B. 用 户 验证 控制 























C. 用 户 密码 设置 D. IP 地 址 限制 
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(5) 提高 电子 邮件 传输 安全 性 的 措施 不 包括 ( 。 )。 
А. 对 电子 邮件 的 正文 及 附件 大 小 做 严格 限制 
B. 对 于 重要 的 电子 邮件 可 以 加 密 传 送 ， 并 进行 数字 签名 
С. 在 邮件 客户 端 和 服务 器 端 采 用 必要 措施 防范 和 解除 邮件 炸弹 以 及 邮件 垃圾 
D. 将 转发 垃圾 邮件 的 服务 器 放 到 “ 黑 名 单 ” 中 进行 封 堵 


3， 简 答题 


(1) 提高 Internet 安全 性 的 措施 有 哪些 ? 
(2) 如 何 增强 IE 浏览 器 的 安全 性 ? 

(3) IIS 服务 器 有 哪些 安全 控制 选项 ? 
(4) 如 何 增强 FTP 服务 器 的 安全 性 ? 


(5) 如 何 增强 E-mail 服务 器 的 安全 性 ? KN Š 











(6) 在 SQL Server 2000 中 如 何 对 用 户 进行 验 ; 


第 





K 
МУ 教学 目标 g% 


通过 对 本 章 的 学 习 ， 读 者 应 重点 掌握 忆 内 容 : 防火 墙 技术 的 基本 原理 ， 防 火 
墙 的 网 络 安全 防范 功能 ， 防 火 墙 的 主 人 优 缺点 ， 防 火 墙 的 体系 结构 ， 防 火 墙 技术 
的 不 足 ， 防 火 墙 的 部 署 方法 等 。 
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7.11 monna- A 


1986 年 Млына 公司 在 Internet 革 安 装 了 全 球 第 一 台 商 用 防火 墙 系统 后 ， 提 出 了 防 
火 墙 的 概念 。 防 火 墙 技术 从 此 开始 了 飞速 的 发 展 。 目 前 已 有 国内 外 众多 厂商 推出 了 防火 墙 
产品 ， 国 外 比较 知名 的 有 Cisco 公司 的 PIX 系列 。 

第 一 代 防 火 墙 ， 又 称 包 过 滤 防 火 墙 ， 主 要 通过 对 数据 包 源 地 址 、 目 的 地 址 、 端 口号 等 
参数 进行 检查 来 决定 是 否 允许 该 数据 包 通 过 ， 但 这 种 防火 墙 很 难 抵御 ІР 地 址 欺骗 等 攻击 ， 
而 且 审 计 功 能 很 差 。 

第 三 代 防 火 墙 ， 也 称 代理 服务 器 ， 它 用 来 提供 网 络 服务 级 的 控制 ， 起 到 外 部 网 络 向 被 
保护 的 内 部 网 络 申请 服务 时 中 间 转 接 作用 ， 这 种 方法 可 以 有 效 地 防止 对 内 部 网 络 的 直接 攻 
击 ， 安 全 性 较 高 。 

第 三 代 防 火 墙 ， 有效 地 提高 了 防火 墙 的 安全 性 ， 称 为 状态 检测 防火 墙 ， 它 可 以 对 每 一 
层 的 数据 包 进 行 检测 和 监控 。 

随 着 网 络 攻击 手段 和 信息 安全 技术 的 发 展 ， 新 一 代 的 、 功 能 更 强 、 安 全 性 更 强 的 防火 
墙 已 经 问世 ， 这 个 阶段 的 防火 墙 已 超出 了 原来 传统 意义 上 防火 墙 的 范畴 ， 已 经 演变 成 一 个 
全 方位 的 安全 技术 集成 系统 ， 称 为 第 四 代 防 火 墙 。 它 可 以 抵御 目前 常见 的 网 络 攻击 手段 ， 
如 下 地 址 欺骗 、 特 洛 伊 木马 攻击 、Intermet 蠕虫 、 密 码 探寻 攻击 、 邮 件 攻击 等 。 


了 非常 多 的 安全 防护 功能 和 网 










































Fe 


7.1.2 防火墙 的 功能 


1. 防火 墙 的 访问 控制 功能 
访问 控制 功能 是 防火 墙 设备 最 基本 的 功能 ， 其 作用 就 是 对 经 过 防火 墙 的 所 有 通信 进行 














连通 或 阻 断 的 安全 控制 ， 以 实现 连接 到 防火 墙 上 的 各 个 网 段 的 边界 安全 性 。 为 实施 访问 控 


制 ， 


ЖЕ, 如 电子 邮件 附件 的 文件 类 型 等 ; 可 以 将 卫 与 МАС 地 址 绑 定 以 防止 盗用 IP 的 现象 发 生 ; 


可 以 根据 网 络 地 址 、 网 络 协议 以 及 ТСР. UDP 端口 进行 过 滤 ， 可 以 实施 简单 的 内 容 过 











可 以 对 上 网 时 间 段 进行 控制 , 不同 时段 执 行 不 同 的 安全 策略 ; 可 以 对 VPN 通信 的 安全 进行 


控制 ， 可 以 有 效 地 对 用 户 进行 带宽 流量 控制 。 


他 都 是 禁止 的 。 


护 网 


客 攻 击 。 针 对 黑客 攻击 手段 的 不 


策略 指 除 了 规则 禁止 的 访问 ， 其 他 都 是 允许 的 。“ KI НЕ Y AUVE а], H 
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2. 防火墙 的 防止 外 部 攻击 功能 
防火 墙 的 内 置 黑客 入 侵 检测 与 防范 机 等 可 以 通过 检查 TCP 连接 中 的 数据 包 的 序号 来 保 
络 免 受 数 据 包 注 入 、SYN Floodi (同步 洪 泛 )、DoS( 拒 绝 服务 ) 和 端口 扫描 等 黑 

防火 墙 软件 也 能 像 杀 毒 软件 一 样 动态 升级 ， 以 适 














应 新 的 变化 。 


址 不 


址 ， 
公众 
可 以 





防火 墙 拥 有 灵活 钠 地 址 转换 (NAT， 
ШИЕ ФИЗИГІ ОТЕТІН 


地 址 时 对 源 行 转换 ， 能 有 效 地 隐 # 
些 转 换 地 址 ， 因 此 使 用 保留 IP 地 址 也 就 可 以 正常 地 访问 公众 网 ， 有 效 地 解决 了 全 局 ІР 地 


3， 防 火 墙 的 地 址 车 







ddress Transfer) 能 力 ， 同 时 支持 正 向 、 反 
址 的 内 部 网 用 户 通 过 防火 墙 访问 公众 网 中 的 
内 部 网 络 的 拓扑 结构 等 信息 。 内 部 网 用 户 共享 这 


足 的 问题 。 
内 部 网 用 户 对 公众 网 提供 访问 服务 (如 Web. E-mail 服务 等 ) 的 服务 器 如 果 想 保留 了 地 
或 者 想 隐藏 服务 器 的 真实 IP 地 址 ， 都 可 以 使 用 反 向 地 址 转换 来 对 目的 地 址 进行 转换 。 
网 访问 防火 墙 的 反 向 转换 地 址 ， 由 内 部 网 使 用 保留 IP 地 址 的 服务 器 提供 服务 ， 同 样 既 
解决 全 局 IP 地 址 不 足 的 问题 ， 又 能 有 效 地 隐藏 内 部 服务 器 信息 ， 对 服务 器 进行 保护 。 
4. 防火 墙 的 日 志 与 报警 功能 


防火 墙 具有 实时 在 线 监 视 内 外 网 络 间 TCP 连接 的 各 种 状态 以 及 UDP 协议 包 的 能 力 ， 























使 
通信 
命令 
析 。 

的 访 
从 日 
视 和 
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户 可 以 随时 掌握 网 络 中 发 生 的 各 种 情况 。 日 志 中 记录 所 有 对 防火 墙 的 配置 操作 、 上 网 
时 间 、 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 、 字 节 数 、 是 否 允 许 通 过 ， 各 个 应 用 层 
及 其 参数 ， 比 如 HTTP 请 求 及 其 要 取 的 网 页 名 。 这 些 日 志 信息 可 以 用 来 进行 安全 性 分 
针对 FTP 协议 ， 记 录 读 、 写 文件 的 动作 。 新 型 防火 墙 可 以 根据 用 户 的 不 同 需要 对 不 同 
问 策略 做 不 同 的 日 志 ， 例 如 有 一 条 访问 策略 允许 外 界 用 户 读 取 FTP 服务 器 上 的 文件 ， 
志 信息 中 用 户 就 可 以 知道 到 底 是 哪些 文件 被 读 取 了 。 在 线 监 视 和 日 志 信息 还 能 实时 监 
记录 异常 的 连接 、 拒 绝 的 连接 、 可 能 的 入 侵 等 信息 。 
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5. 防火 墙 的 身份 认证 功能 

防火 墙 支持 基于 用 户 身份 的 网 络 访问 控制 ， 不 仅 具 有 内 置 的 用 户 管理 及 认证 接口 ， 同 
支持 用 户 进 行 外 部 身份 认证 。 防 火 墙 可 以 根据 用 户 认 证 的 情况 动态 地 调整 安全 策略 ， 
户 对 网 络 的 授权 访问 。 
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按照 实现 技术 分 类 ， 防 火 墙 技术 有 包 过 滤 技 术 、 应 用 代理 技术 和 状态 检测 技术 。 




















7.21 防火 墙 的 包 过 滤 技 术 4% 
包 过 滤 (Packet Filten) 通 常安 装 在 路 由 器 上 ， жаба 路 由 器 都 提供 了 包 过 滤 的 
可 以 进 





。 包 过 滤 是 一 种 安全 筛选 机 制 ， kaya Y 进出 网 络 而 哪些 数据 包 应 被 网 














络 所 拒绝 。 
网 络 中 的 应 用 虽然 很 多 ， ады 都 是 以 数据 包 的 形式 出 现 的 ， 这 种 做 法 
主要 是 因为 网 络 要 为 多 个 系统 提供 共 毫 I 如， 文件 传输 时 ， 必 须 将 文件 分 割 为 小 的 





数据 
地 址 


就 知 
包 发 


包 ， 每 个 数据 包 单独 传输 。 每 人 也 中 除了 包含 所 要 传输 的 数据 (内 容 )， 还 包括 源 
及 目标 地 址 等 。 
数据 包 是 通过 互联 网 










Р 由 器 ， eae 网 络 的 。 路 由 器 接收 到 数据 包 后 
Č TAUR KIEN 后 路 由 器 查询 由 表 。 若 有 去 往 目的 地 路 由 ， 则 将 该 
送 到 下 一 个 或 直接 发 往 下 一 Don. 将 该 包 丢掉 。 与 路 由 器 不 同 的 是 ， 
ee tisis инна 还 要 根据 一 组 包 过 滤 规 则 决定 是 
URED “如 图 7.1 所 示 。 





应 用 层 






071 包 过 滤 型 防火 墙 原理 图 
1. 工作 机 制 
包 过 滤 技术 可 以 允许 或 禁止 某 些 包 在 网 络 上 传递 ， 它 依据 的 是 以 下 的 判断 规则 。 
(1) 对 包 的 目的 地 址 作出 判断 。 
(2) 对 包 的 源 地 址 作出 判断 。 
(3) 对 包 的 传送 协议 (端口 号 ) 作 出 判断 。 
一 般 地 ， 在 进行 包 过 滤 判 断 时 不 关心 包 的 具体 内 容 。 包 过 滤 只 能 让 人 们 进行 类 似 以 下 








Fe 


情况 的 操作 ， 比 如 不 让 任何 工作 站 从 外 部 网 用 Telnet 登录 ， 人 允许 任何 工作 站 使 用 SMTP 往 

内 部 网 发 电子 邮件 等 。 
但 包 过 滤 不 能 允许 人 们 进行 如 下 的 操作 ， 如 允许 用 户 使 用 FTP， 同 时 还 限制 用 户 只 可 

读 取 文 件 不 可 写 入 文件 、 人 允许 某 个 用 户 使 用 Telnet 登录 而 不 允许 其 他 用 户 进行 这 种 操作 。 

包 过 滤 系统 处 于 网 络 的 ІР 层 和 TCP 层 ， 而 不 是 应 用 层 ， 所 以 它 无 法 在 应 用 层 的 具体 

操作 进行 任何 过 滤 。 以 FTP 为 例 ，FTP 文件 传输 协议 应 用 中 包含 许多 具体 的 操作 ， 如 读 取 

操作 、 写 入 操作 、 删 除 操作 等 。 同 时 包 过 滤 系 统 不 能 识别 数据 包 中 的 用 户 信息 。 

2. 性 能 特点 

1) 优点 

(Т) 因为 包 过 滤 防火 墙 工 作 在 IP 层 和 TCP 层 , 所 以 处 理 包 购 速度 要 比 代理 服务 型 防火 











































































































省 快 。 
(2) 提供 透明 的 服务 ， 用 户 不 用 改变 客户 端 程序 & 


















2) 缺点 
(1) 因为 只 涉及 TCP 层 ， 所 以 与 代理 服 i 火绒 相 比 ， 它 提供 的 安全 级 别 很 低 。 
(2) 不 支持 用 户 认 证 ， 包 中 只 有 来 自 的 信 息 却 不 包含 来 自 哪个 用 户 的 信息 。 
(3) 不 提供 日 志 功 能 。 NS 
722 ”防火 墙 的 应 用 代理 技术 
代理 服务 (Proxy Servici 一 般 安装 并 运行 -。 双 宿主 机 是 一 个 被 取消 路 






由 功能 的 主机 ， ыру; RMO tx 网 络 层 是 被 断 开 的 。 这 样 做 


的 目的 是 使 外 部 网 络 死 淫 了 解 内 部 网 络 КАМИН 显 不 同 ， 就 逻辑 拓扑 
而 言 ， 代 理 有 Д не 
-内 家 外 部 网 络 在 网 络 层 бот, тожини tamana 





图 7.2 ”代理 服务 型 防火 墙 工作 在 应 用 层 


1. 工作 机 制 


代理 服务 型 防火 墙 按 如 下 标准 步骤 对 接收 的 数据 包 进行 处 理 。 
(1) 接收 数据 包 。 


1 


(2) 检查 源 地 址 和 目标 地 址 。 

(3) 检查 请 求 类 型 。 

(4) 调用 相应 的 程序 。 

(5) 对 请 求 进行 处 理 。 

下 面 以 一 个 外 部 网 络 的 用 户 通过 Telnet 访问 内 部 网 络 中 的 主机 为 例 ,介绍 这 些 标准 步骤 。 

1) 接收 数据 包 

外 部 网 络 的 路 由 器 将 外 部 网 络 主机 对 内 部 网 络 资源 的 请 求 路 由 至 防火 墙 的 外 部 网 - 
同样 ， 内 部 网 络 中 的 主机 通过 内 部 网 络 中 的 路 由 选择 信息 将 对 外 部 网 络 资源 的 请 求 路 上 
防火 墙 的 内 部 网 卡 。 本 例 中 ， 当 外 部 网 络 用 户 通 过 Telnet 请 求 对 内 部 网 络 中 的 主机 进 和 
问 时 ， 路 由 信息 将 该 请 求 传送 至 防火 墙 的 外 部 网 卡 上 。 
2) 检查 源 地 址 和 目标 地 址 

- 且 防 火 墙 接收 到 数据 包 ， 它 必须 确定 如 何 处 理 ;该 郊 烙 全 
为 源 地 址 ， 并 确定 该 包 是 由 哪 块 网 卡 接收 的 。 这 {А 了 确定 数据 包 是 否 有 IP 地 址 欺 
风行 为 ， 例 如 ， 如 果 发 现 从 外 部 网 卡 接收 的 Ч А eur i) Wb ht Jai F Ру REAK It) th hi: 
围 ， 则 表明 这 是 地 址 欺骗 行为 ， ығын 并 将 此 事件 记录 到 


ж. 
行 检查 ， 并 确定 是 否 需 要 对 该 包 做 进一步 处 理 。 
千 对 目标 地 址 ; Ы). AP, Telnet 的 目标 地 址 


接 下 来 ， 防火 墙 对 包 中 的 目 未 
是 通过 外 部 网 - i% Telnet 请 求 的 ， 且 发 现 请 求 包 中 没 
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。 首 先 ， 防 火 墙 检查 数据 包 
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这 一 点 与 包 过 滤 类 似 ， 即 格 
是 内 部 网 络 的 某 台 主机 
有 地 址 欺骗 行为 ， 防 : 
3) 检查 请 求 








"Sra ma ППУ 
以 便 确定 是 否 闪 数据 包 提供 相应 的 服务 。 如 果 防 火 墙 对 所 请 求 的 端口 号 不 提供 服务 ， 则 将 
这 一 企图 作为 潜在 的 威胁 记录 下 来 并 拒绝 该 请 求 。 本 例 中 ， 数 据 包 的 内 容 表 明 请 求 服务 是 
Telnet， 即 请 求 端口 号 为 23 且 防 火 墙 的 配置 规则 支持 这 类 请 求 的 服务 。 
4) 调用 相应 的 程序 
于 防火 墙 对 所 请 求 的 服务 提供 支持 ， 所 以 防火 墙 利 用 其 他 配置 信息 将 该 服务 请 求 传 
送 至 相应 的 代理 服务 。 
5) 对 请 求 进行 处 理 
现在 代理 服务 以 目的 主机 的 身份 并 采用 与 应 用 请 求 相同 的 协议 对 请 求 进行 响应 。 应 用 
请 求 方 认为 它 是 与 目标 主机 进行 对 话 的 。 然 后 ， 代 理 服务 通过 另 一 块 网 卡 以 自己 的 真实 身 
份 代替 客户 方 ， 向 目标 主机 发 送 应 用 请 求 。 如 果 应 用 请 求 成 功 ， 则 表明 客户 端 至 目标 主机 
之 间 的 应 用 连接 成 功 地 建立 了 。 注 意 ， 与 包 过 滤 防 火 墙 不 同 ， 代 理 服务 型 防火 墙 是 通过 西 
次 连接 实现 客户 机 至 目标 主机 之 间 的 连接 的 ， 即 客户 机 至 防火 墙 、 防 火 墙 至 目标 主机 。 另 
外 ， 通 过 对 防火 墙 进行 适当 的 配置 ， 可 以 在 防火 墙 蔡 客户 机 向 目标 主机 发 送 应 用 请 求 之 前 
对 客户 方 进行 身份 验证 。 验 证 方法 包括 SecureID、S/Key、Radius 等 。 本 例 中 ， 客 户 方法 与 
防火 墙 建立 Telnet 连接 ， 然 后 防火 墙 立 即 向 客户 方 发 出 身份 验证 要 求 。 若 验证 通过 ， 则 防 
火 墙 替 客户 方向 目标 主机 发 送 应 用 请 求 。 和 否则， 防火墙 将 断 开 它 与 客户 方 已 建立 的 连接 。 
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2. 性 能 特点 


П) 优点 
(1) 提供 的 安全 级 别 高 于 包 过 滤 型 防火 墙 。 
(2) 代理 服务 型 防火 墙 可 以 配置 成 唯一 的 、 可 被 外 部 看 见 的 主机 ， 以 保护 内 部 主机 免 
受 外 部 攻击 。 
(3) 可 以 强制 执行 用 户 认证 。 
(4) 代理 工作 在 客户 机 和 真实 服务 器 之 间 ， 完 全 控制 会 话 ， 所 以 能 提供 较 详 细 的 审计 
日 志 。 
2) 缺点 
代理 的 速度 比 包 过 滤 慢 。 
随 着 因特网 络 技术 的 发 展 ， 不 论 在 速度 上 还 是 在 安 
， 基 于 上 ааа 对 
术 更 新 。 


7.2.3 ”防火 墙 的 状态 检测 技术 а 


状态 检测 防火 墙 在 网 络 层 由 - 截获 数据 包 ， 并 抽取 与 应 用 层 状态 有 关 的 信 
KL, 并 以 此 作为 依据 决定 对 该 连 还 是 拒绝 。 检测 模块 维护 一 个 动态 的 状态 信息 表 ， 


be 现任 何 连接 和 а BARKE, ЕЕ РЕ 
















防火 墙 技术 也 要 更 新 发 
代理 服务 型 防火 墙 进行 了 技 





























状态 检测 模块 能 名 各 种 协议 ЕНУ 多 支持 各 种 最 新 的 应 用 服务 。 状态 检测 模 
ВВК. М HARDE D KRR ТТІ 保证 网 络 的 高 度 安全 和 数据 完整 。 网 
络 和 各 种 应 信 状 态 动态 存储 、 更 新 到 动态 状态 表 中 ， 结 合 预定 义 好 的 规则 ， 实 现 安 
全 策略 。 状 态 检测 检查 OSI 七 层 模型 的 所 有 层 ， 以 决定 是 否 过 滤 ， 而 不 仅仅 对 网 络 层 检 测 ， 
如 图 7.3 所 示 。 

















图 7.3 “状态 检测 防火 墙 原理 图 
状态 检测 技术 首先 由 CheckPoint 公司 提出 并 实现 。 目 前 许多 包 过 滤 防 火 墙 中 都 使 用 多 
































层 状态 检测 ， 其 主要 特点 如 下 。 


1， 安 全 性 

状态 检测 防火 墙 工作 在 数据 链 路 层 和 网 络 层 之 间 ， 截 取 和 检查 所 有 通过 网 络 的 原始 数 
据 包 并 进行 处 理 。 首 先 根据 安全 策略 从 数据 包 中 提取 有 用 信息 ， 保 存在 内 存 中 。 然 后 将 相 
关 信 息 组 合 起 来 ,进行 一 些 逻 辑 或 数学 运算 并 进行 相应 的 操作 ， 如 允许 或 拒绝 数据 包 通 过 、 
认证 连接 和 加 密 数 据 等 。 状 态 检测 防火 墙 虽 然 工 作 在 协议 栈 较 低层 ， 但 它 监测 所 有 应 用 层 
的 数据 包 并 从 中 提取 有 用 信息 ， 如 ТР 地址、 端口 号 和 数据 内 容 等 ， 这 样 安全 性 就 可 以 得 到 
很 大 的 提高 。 

2. 高效 性 

通过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 ， 减 少 了 高 层 协议 头 的 开销 ， 执 行 效率 提高 很 
多 。 另 外 在 这 种 防火 墙 中 ， 一 旦 一 个 连接 建立 起 来 ， 曾 时 该 连接 做 更 多 的 工作 。 如 
-个 通过 了 身份 验证 的 用 户 试图 打开 另 一 个 浏览 器 ， Nr 
再 建立 其 他 会 话 的 权限 ， 而 不 会 提示 该 用 户 再 қар 

3. 可 伸缩 性 和 易 扩展 性 2 X 

WAERED А ААВ У Н 190 KE Қ. 每 个 应 用 对 应 一 个 服务 程序 ， 所 能 提供 的 服 
务 是 有 限 的 ， 而 且 当 增加 Шы» ， 必 须 为 新 的 服务 开发 相应 的 服务 程序 。 状 态 检 
ee 《是 根据 从 数据 外 出 的 信息 、 对 应 的 安全 策略 及 
过 滤 规 则 处 理 数据 包 。 妆 有 新 的 应 用 时 ， 态 产 生 并 应 用 新 的 规则 ， 而 不 用 另外 
写 代码 ， 所 以 具有 4 人 V 

4. ANË а x 

Я 1 

状态 检测 阶 火 墙 不 仅 支持 基于 TCP 的 应 用 ， 而 且 支 持 基 于 无 连接 协议 的 应 用 ， 如 
RPC(Remote Procedure Call), UDP 的 应 用 (DNS、WAIS 等 )。 对 于 无 连接 的 协议 ， 包 过 滤 
防火 墙 和 应 用 层 网 关 要 么 不 支持 这 类 应 用 , 要 么 开放 一 个 大 范围 的 UDP 端口, 这样 会 暴露 
内 部 网 ， 降 低 了 安全 性 。 

状态 检测 技术 更 适合 提供 对 UDP 协议 的 支持 。 它 将 所 有 通过 防火 墙 的 UDP 分 组 均 视 
为 一 个 虚拟 连接 ， 防 火 墙 保存 通过 网 关 的 每 一 个 连接 的 状态 信息 ， 允 许 通 过 防火 墙 的 UDP 
请 求 都 会 被 记录 。 当 UDP 包 在 相反 方向 上 通过 时 ， 依 据 连 接 状 态 表 确定 该 UDP 包 是 否 被 
授权 和 通过 。 每 个 虚拟 连接 都 具有 一 定 的 生存 期 , 较 长 时 间 没 有 数据 传送 的 连接 将 被 终止 。 
724 防火墙 系 统 体系 结构 


在 实际 应 用 中 ， 构 筑 防 火 墙 的 “真正 的 解决 方案 ”很 少 采 用 单一 的 技术 ， 通 常 是 多 种 
解决 不 同 问题 的 技术 的 有 机 组 合 ， 也 就 是 说 可 以 采用 多 种 体系 结构 来 构建 防火 墙 系统 。3 
种 常见 的 体系 结构 是 : 双重 宿主 主机 体系 结构 、 屏 蔽 主机 体系 结构 和 屏蔽 子 网 体系 结构 。 

І. 双重 宿主 主机 体系 结构 

双重 宿主 主机 体系 结构 围绕 双重 宿 了 
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主机 构筑 ， 双 重 宿主 主机 至 少 有 两 个 网 络 接口 ， 
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这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ， 它 能 够 从 一 个 网 络 到 另外 一 个 
网 络 发 送 IP 数据 包 。 然 而 双重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 送 ， 因 此 IP 数据 包 
并 不 是 从 一 个 网 络 (如 外 部 网 络 ) 直 接 发 送 到 另 一 个 网 络 (如 内 部 网 络 ) 的 。 外 部 网 络 能 与 双重 
宿主 主机 通信 ， 内 部 网 络 也 能 与 双重 宿主 主机 通信 。 但 是 外 部 网 络 与 内 部 网 络 不 能 直接 通 
信 ， 它 们 之 间 的 通信 必须 经 过 双重 宿主 主机 的 过 滤 和 控制 。 

2 屏蔽 主机 体系 结构 


屏蔽 主机 体系 结构 防火 墙 使 用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 ， 堡 垒 主机 是 
Internet 上 的 主机 能 连接 到 的 、 唯 一 的 、 内 部 网 络 上 的 系统 。 任 何 外 部 的 系统 要 访问 内 部 的 
系统 或 服务 都 必须 先 连接 到 这 人 台 主 机 。 同 样 内 部 网 也 只 有 堡垒 主机 可 以 连接 Internet, 4 
主机 实际 也 就 是 代理 服务 器 ， 如 图 7.4 和 图 7.5 所 示 。 K 


















































内 部 网 主机 


信息 服务 器 
图 7.5 屏蔽 主机 体系 结构 2 
3. 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 两 个 屏蔽 路 由 器 ， 每 一 个 都 连接 到 一 个 处 于 内 多 
和 外 网 之 间 的 所 谓 隔离 网 ， 也 就 是 停火 区 或 者 非 军事 区 。 一 个 位 于 隔离 网 与 内 部 网 络 之 间 
另 一 个 位 于 隔离 网 与 外 部 网 络 (通常 为 Internet) 之 间 。 这 样 就 在 内 部 网 络 与 外 部 网 络 之 间 玫 
成 了 一 个 “隔离 带 ”。 保 又 主机 安装 在 这 个 “隔离 带 ”。 为 了 侵入 用 这 种 体系 结构 构筑 的 
部 网 络 ， 侵 袭 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 者 侵入 堡 又 主机， 仍然 必须 通过 内 部 路 
器 访问 内 部 网 络 ， 如 图 7.6 所 示 。 
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信息 服务 器 
图 7.6 屏蔽 子 网 体系 结构 
725 防火墙 的 主要 技术 指标 Ж» 


1， 并 发 会 话 连接 数 
并 发 会 话 连接 数 指 的 是 防火 墙 或 代理 服务 器 对 叶 琵 爷 
够 同时 处 理 的 点 对 点 会 话 连接 的 最 大 数目 ， 5%) J KR £ МЕЖЕ ІІ) bae ВЕ J) ПЕ 
到 防火 墙 所 能 支持 的 最 大 信息 点 数 。 
大 多 数 人 也 许 不 理解 普通 会 话 到 几 十 万 不 等 。 举 例 说 明 ， 一 个 并 发 会 话 数 


代表 一 台 机 器 打开 的 一 个 窗口 或 贰 SS 众 页 面 。 内 网 中 去 全 机 器 同时 打开 很 多 页 面 ， 并 且 聊 
天 工具 或 者 网 络 游戏 同时 入 那么 这 一 台 机 话 数 就 会 有 几 十 到 几 百 不 等 。 
内 网 中 同时 在 线 的 机 器 ， 和 需要 的 会 话 。 所 以 根据 防火 墙 的 型 号 不 同 ， 型 














号 越 大 ， 并 发 会 话 

2. 吞吐 个 ye 

网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 的 ， 防 火 墙 对 每 个 数据 包 的 处 理 都 要 耗费 资源 。 
吞吐 量 是 指 在 不 丢 包 的 情况 下 单位 时 间 内 通过 防火 墙 的 数据 包 数 量 。 

吞吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ， 尤 其 是 程序 算法 ， 会 使 防 
但 火 墙 系统 进行 大 量 运算 ,通信 量 大 打折 扣 。 因 此 , 大 多 数 防火 墙 虽 号 称 100Mbps 防火 墙 ， 
于 其 算法 依靠 软件 实现 , 通信 和 量 远 远 没 有 达到 100Mbps， 实 际 只 有 10 一 20Mbps。 纯 硬件 
防火 墙 , 由 于 采用 硬件 进行 运算 , 因此 吞吐 量 可 以 达到 线性 90--95МЫрв, 是 真正 的 100Mbps 
防火 墙 。 
对 于 中 小 型 企业 来 讲 ， 选 择 吞 吐 量 为 百 兆 级 的 防火 墙 即 可 满足 需要 ， 而 电信 、 人 金融 、 
保险 等 大 公司 、 大 企业 部 门 就 需要 采用 吞吐 量 为 千 兆 级 的 防火 墙 产品 。 

3. 工作 模式 


目前 市 面 上 的 防火 墙 都 会 具备 3 种 不 同 的 工作 模式 , 路 由 模式 、NAT 模式 和 透明 模式 。 

透明 模式 下 ， 防 火 墙 过 滤 通 过 防火 墙 的 包 ， 而 不 会 修改 数据 包 包头 中 的 任何 源 或 目的 
地 信息 。 所 有 接口 运行 起 来 都 像 是 同一 网 络 中 的 一 部 分 。 此 时 防火 墙 的 作用 更 像 是 Layer 
2( 第 2 层 ) 交 换 机 或 桥接 器 。 在 透明 模式 下 ,接口 的 IP 地 址 被 设置 为 0.0.0.0， 防 火 墙 对 于 用 
户 来 说 是 可 视 或 “透明 ”的 。 
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网 络 地 址 转换 (NAT) 模 式 下 ， 防 火 墙 的 作用 与 Layer 3( 第 3 层 ) 交 换 机 (或 路 由 器 ) 相 似 ， 
将 绑 定 到 外 网 区 段 的 IP 包 包头 中 的 两 个 组 件 进行 转换 ， 其 源 IP 地 址 和 源 端 口号 。 防 火 墙 
目的 地 区 段 接口 的 IP 地 址 替换 发 送 包 的 主机 的 源 IP 地 址 。 另 外 ， 它 用 另 一 个 防火 墙 生 
成 的 任意 端口 号 替换 源 端口 号 。 
路 由 模式 时 ， 防 火 墙 在 不 同 区 段 间 转 发 信息 流 时 不 执行 NAT。 即 当 信息 流 穿 过 防火 墙 
М, ІР 包 包头 中 的 源 地 址 和 端口 号 保持 不 变 。 与 МАТ 不 同 , 不 需要 为 了 允许 入 站 会 话 到 达 
主机 而 建立 路 由 模式 接口 的 映射 和 虚拟 ІР 地 址 。 与 透明 模式 不 同 ， 内 网 区 段 中 的 接口 和 外 
区 段 中 的 接口 在 不 同 的 子 网 中 。 

4. Фо 


防火 墙 的 接口 也 分 为 以 太 网 口 (10Mbps)、 快 速 以 太 网 口 ( Mbps)、 千 兆 以 太 网 口 ( 光 
纤 接口 )3 种 类 型 。 防 火 墙 一 般 都 预先 设 有 内 网 口 、 外 网 丘 《 区 接口 和 默认 规则 ， 有 的 
防火 墙 也 预 留 了 其 他 接口 用 于 用 户 自 定 raon 。 防 火 墙 上 的 RS-232 Console 






































































































































口 主要 用 于 初始 化 防火 墙 时 进行 基本 的 配置 或 用 护 。 另 外 有 的 防火 墙 还 有 可 能 提供 
PCMCIA #1. IDS 镜像 口 、 高 可 用 性 接 na 些 都 是 根据 防火 墙 的 功能 来 决定 的 。 


; жайған іре DA Po ne 以 下 几 个 方面 存在 缺陷 。 


1. 防火 墙 不 能 

Вур 5. tC 用 户 经 过 网 之 送 专 有 的 信息 ， 但 用 户 可 以 将 数据 复制 到 磁 
盘 、 磁 带 上 ， 文 包 中 带 出 去 。 如 果 广 侵 者 已 经 在 防火 墙 内 部 ， 防 火 墙 是 无 能 为 力 的 。 
内 部 用 户 可 以 偷 宛 数据 ， 破 坏 硬件 和 软件 ， 并 且 巧 妙 地 修改 程序 而 不 接近 防火 墙 。 对 于 来 
自 知情 者 的 威胁 ， 只 能 要 求 加 强 内 部 管理 ， 如 主机 安全 和 用 户 教育 等 。 


2， 防 火 墙 不 能 防止 未 经 过 防火 墙 的 攻击 
防火 墙 能 够 有 效 地 防止 通过 它 的 传输 信息 , 然而 它 却 不 能 防止 不 通过 它 而 传输 的 信息 


例如 ,如 果 人 允许 处 于 防火 增 后 面 的 内 部 系统 拨号 接 入 Intemet 访问 ,那么 防火 增 绝 对 没有 办 
法 阻止 入 侵 者 通过 拨号 线路 。 

3 防火墙 不 能 取代 杀毒 软件 

防火 墙 不 能 防范 网 络 上 或 PC 中 的 病毒 。 虽 然 许多 防火 墙 可 以 扫描 所 有 通过 它 的 信息 ， 
以 决定 是 否 允许 它 通过 ， 但 这 种 扫描 只 针对 源 地 址 、 目 标 地 址 和 端口 号 ， 而 不 是 数据 的 具 
体内 容 。 即 使 是 先进 的 数据 包 过 渡 系 统 ， 也 难以 防范 病毒 ， 因 为 病毒 的 种 类 太 多 ， 而 且 病 
毒 可 以 通过 多 种 手段 隐藏 在 数据 中 。 

防火 墙 要 检测 随机 数据 中 的 病毒 就 必须 做 到 以 下 几 点 。 

(1) 确认 数据 包 是 程序 的 一 部 分 

(2) 确定 程序 的 功能 。 

(3) 确定 病毒 引起 的 改变 。 


ле 





第 7 章 ШАШ 
这 对 处 于 网 络 进出 口 通道 上 的 防火 墙 设备 而 言 ， 在 不 影响 网 络 吞 吐 率 的 前 提 下 是 不 可 
能 做 到 的 。 
4. 防火 墙 不 易 防止 反弹 端口 木马 攻击 


使 用 反弹 端口 技术 的 木马 程序 ， 由 植 入 内 部 网 络 的 木马 服务 器 端 程序 发 起 与 控制 端的 
连接 ， 如 果 使 用 合法 端口 ， 就 很 难 在 防火 墙 上 进行 访问 控制 。 




















74 防火 墙 产品 介绍 

















目前 国内 和 国外 已 经 有 很 多 防火 墙 制 造 商 。 这 些 三 商 的 产品 各 有 不 同 的 特色 ， 人 性 能 也 
有 较 大 差别 ， 但 防火 墙 的 主要 功能 基本 相同 。 ШЕ. 和 国内 的 知名 品牌 ， 帮 


助 读者 认识 防火 墙 产品 。 б 


7.4.1 Cisco 防火 墙 简介 
Cisco Secure PIX 系列 防火 墙 的 主要 特 交 、 配 置 简单 。 另 外 ， 其 允许 透明 地 支持 
Internet 多 媒体 应 用 ， 不 再 需要 实际 调 出 - 台 客 户 工作 站 或 PC。 非 UNIX 的 
Же. ЭМК ААЖ ЫН f ill 7 алия, 提供 了 突出 的 性 能 。 基 于 标 
准 的 虚拟 专 网 使 管理 员 可 以 降低 i жел 网 络 将 移动 用 户 和 远程 间 j 
企业 网 络 相 连 的 成 本 。 自 适应 乱 全 算 话 提供 静态 安全 性 ， 以 保护 敏感 
的 保密 资源 。 静态 故障 : 吕 使 网 络 可 靠 性 最 大 。 网 络 地 址 转换 (NAT) 
节省 了 宝贵 的 人 P 藏 P 地 址 ， 使 之 不 被 外 部 得 到 。 截 断 通 
过 代理 提供 了 新 使 用 现 有 认证 数据 库 降低 拥有 成 本 。 多 种 
网 络 接口 卡 所 有 其 他 的 公共 访 间 服务器、 与 不 同 合作 伙伴 的 多 种 外 部 网 链 路 、 得 
到 保护 的 记录 和 URL 过 滤 服 务 器 提供 强大 的 安全 性 。 支 持 多 达 28 万 个 同时 连接 ， 使 部 署 
很 少 的 防火 墙 能 极 大 地 提高 代理 服务 器 的 性 能 。 
Cisco 防火 墙 可 以 防止 拒绝 服务 攻击 , 保护 防火 墙 及 其 后 面 的 服务 器 和 客户 机 不 受 破坏 
性 的 黑客 攻击 。 
Cisco 防火 墙 支持 各 种 应 用 ， 全 面 降 低 防 火 墙 对 网 络 用 户 的 影响 。JavaApplet 过 滤 使 防 
火 墙 可 以 在 每 个 客户 机 或 每 个 IP 地址 上 终止 具有 潜在 危险 的 Java 应 用 。 支 持 多 媒体 应 用 ， 
降低 了 支持 这 些 协 议 所 需要 的 管理 时 间 和 成 本 。 无 需 特殊 的 客户 机 配置 ， 只 需 设置 6 条 命 
令 就 能 实现 一 般 的 安全 策略 。 紧 凑 设 计 可 以 更 加 容易 地 部 署 在 桌面 或 更 小 的 办 公设 置 中 。 
当 URL 过 滤 与 Websense 企业 软件 配合 使 用 时 ， 可 以 提供 控制 哪些 Web 站 点 的 用 户 
可 以 出 于 计 费 的 目的 来 访问 和 维护 审计 跟踪 数据 的 能 力 ;: 对 PIX 防火 墙 性 能 的 影响 最 小 。 
邮件 保护 不 再 需要 外 部 邮件 在 外 围 网 络 中 转发 ， 也 防止 了 外 部 邮件 转发 过 程 中 的 拒绝 服 
务 攻 击 。 


7.4.2 ЖИЕ NetST 防火 墙 简介 


紫荆 盾 NetST 防火 墙 产 自 于 国内 最 早 的 安全 设备 制造 商 北京 同方 信息 安全 技术 股份 有 
限 公司 ， 该 产品 主要 有 以 下 几 个 特点 。 














































































БЕ Se 


1) 一 体 化 的 软 硬 件 设 计 

NetST 防火 墙 使 用 专用 设计 的 硬件 平台 ,符合 工业 标准 ， 稳 定性 极 强 ; 专用 shell 管理 ， 
不 接触 系统 内 部 ; 终端 串口 管理 ， 支 持 用 户 认证 ; 采取 专用 管理 网 络 端口 防止 监听 ，NetST 
防火 墙 采 用 一 体 化 的 硬件 设计 ， 可 以 发 挥 硬件 的 最 高 效能 ， 提 高 系统 自身 安全 性 。 而 且 
NetST 防火 墙 可 以 独立 运行 ， 不 依赖 于 网 络 环境 及 操作 系统 。 

2) 高 效率 的 状态 检测 引擎 

NetST 防火 墙 引擎 采用 国际 流行 的 状态 检测 包 过 滤 技 术 ， 可 在 线 监测 当前 内 外 网 络 的 
连接 状态 , 根据 连接 状态 动态 处 理 连接 情况 ,对 异常 的 连接 状态 进行 阻 断 和 记录 ,及 时 报警。 

3) 自身 安全 性 高 

NetST 防火 墙 自身 具有 极 高 的 安全 性 。 所 有 的 对 外 通信 均 采 用 IDEA 等 高 强度 加 密 来 
进行 保护 , 即使 被 截取 也 不 会 泄露 防火 墙 自身 的 信息 。NetST 采用 专用 安全 操作 系统 ， 
安全 级 别 高 。 




















































































































4) 抗 攻 击 能 力 

(1) 防 他 地 址 欺骗 ，NetST 防火 墙 可 以 保证 кір nat saone, 防 
止 通过 修改 IP 地 址 的 方法 进行 非 授权 访问 。 

(2) 攻击 检测 功能 : NetST 防火 墙 可 区 
以 及 多 种 拒绝 服务 攻击 ， 如 SYN Fl 

(3) анты O GN i. сәнде 防 自 外 部 网 络 的 扫描 和 多 种 






让 对 网 络 或 内 部 主机 的 所 有 TCP/UDP 扫描 


攻击 进行 实时 响应 。 
(4) 抗 DoS/DDoS mD tST BY khi H A DARIE LEIRI ERA Ма 2/2, 
ñ SYN Flood. S; 和 Flood. Ping of Death. Ping Sweep. 
sia 


而 且 可 以 对 抗 DoS Жі 
Land Attack、 等 攻 i: , А: 机 免 于 瘫痪 。 

(5) 端口 端口 扫描 ， AAE KEBA Et 的 哪些 服务 ， 从 而 
А7 击 或 利用 志 eh 击 服务 器 。NetST 防火 墙 可 以 利用 网 络 地 址 转 
换 (NAT) 功 能 、 状 态 检 测 进行 防御 。 

完善 的 防 攻 击 技术 提供 了 强大 的 入 侵 防护 功能 ， 防 火 墙 还 内 置 了 IPS 功能 ， 能 够 检测 
到 数据 包 内 容 中 所 包含 的 攻击 和 入 侵 并 且 阻 断 它 。 防 火 墙 也 可 以 和 IDS 实现 联动 ， 提 高 了 
安全 性 ， 而 且 保 证 了 高 性 能 。 

5) 内 容 过 滤 

系统 支持 对 可 能 的 危险 代码 或 容易 挤占 网 络 带宽 数据 的 过 滤 ， 如 HTML 中 的 Java, 
ActiveX 脚本 、 音 频 视 频 信息 、 电 子 邮件 中 的 危险 附件 等 ;控制 FTP 上 传 /下 载 的 文件 类 型 
NetST 防火 墙 阻止 ActiveX, Java, JavaScript 等 侵入 ; 所 有 类 型 均 可 由 用 户 自行 定义 ， 
支持 通配符 的 使 用 。NetST 防火 墙 能 够 对 URL 关键 字 以 及 页 面 关 键 字 进行 过 滤 。 

6) 协议 支持 

NetST 防火 墙 支持 现 有 的 280 多 种 通信 协议 和 730 种 应 用 服务 ， 包 括 WWW. FTP. 
POP3、 数 据 库 服务 、 多 媒体 服务 (H.323、Real Audio 及 VDOLive). Microsoft 网 络 服务 等 。 
NetST 防火 墙 支持 新 的 MSN, SIP 等 协议 ， 特 别 优化 视频 和 音频 的 数据 处 理 ， 确 保 用 户 能 
够 顺利 实施 视频 会 议 等 应 

7) 多 种 工作 模式 

NetST 防火 墙 支持 网 桥 模式 、 路 由 模式 、 代 理 模 式 及 混合 模式 ， 这 样 可 以 方便 用 户 使 
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。 使 用 网 桥 模式 的 防火 墙 本 身 没 有 ІР 地 址 ， 在 IP 层 对 内 网 用 户 来 说 透明 ， 对 现存 局 域 
的 拓扑 结构 以 及 相关 设置 无 需 进 行 大 的 变动 。 在 网 桥 上 配置 IP 地址 ，NetST 防火 墙 能 够 
在 网 桥 模 式 上 实现 路 由 、 地 址 转换 、 端 口 转换 等 功能 ， 不 降低 网 桥 模 式 的 安全 性 。NetST 
防火 墙 支持 在 一 个 网 桥 上 接 入 多 个 不 同 的 网 络 ， 也 支持 多 个 网 卡 组 成 一 个 网 桥 。 

8) 领先 的 双向 网 络 地 址 转换 

NetST 防火 墙 系统 支持 动态 、 静 态 、 双 向 的 网 络 地 址 转换 NAT)。 它 可 以 把 内 部 网 IP 
地 址 转换 成 公 网 IP 地 址 ， 使 得 外 部 网 络 无 法 知道 内 部 主机 的 ІР 地 址 ， 从 而 伪装 内 部 地 址 、 
保护 内 部 主机 ， 进 一 步 增 强 系 统 的 安全 性 。 另 外 ， 网 络 地 址 转换 方式 允许 内 部 用 户 使 用 非 
静态 的 IP 地 址 (符合 RFC1918)， 从 而 解决 了 ISP 所 提供 IP 地 址 有 限 的 问题 。 同 时 NetST 
也 支持 多 重地 址 转换 和 动态 地 址 转换 。 

























































































率 。 一 般 可 以 使 用 主机 数 X 10 来 估计 所 需要 的 最 大 。 过 高 的 并 发 连接 数 设置 导 
致 防火 墙 在 分 配 软 、 硬 件 资源 上 产生 浪费 ， 所 以 合 置 能 得 到 较 高 的 效率 。NetST Wi 
火 墙 能 够 根据 网 络 规模 随时 调整 并 发 连接 数 
10) 支持 多 出 口 > 
NetST ру khi ЗС, АРШЫНЫҢ РМ VRRP， 支 持 多 出 口 ， 支 持 多 个 ISP 
TRAY атур kem: 有 效 地 进行 不 同 ISP 之 间 


尖 效 切换 。NetST 不 但 可 以 根据 数据 包 的 目的 地 址 
J 源 地 址 决定 路 用 户 有 多 个 出 口 的 情况 下 ， 就 可 以 用 


AE? ruranan, 其 还 能 根据 应 用 服务 
器 的 相应 能 力 进行 优化 的 均衡 设置 ， 设 置 服务 器 能 力 权 值 ， 自 动 分 配 流量 。 
12) 支持 多 种 VPN 
(1) 实现 site-site/site-client 的 VPN 连接 。 
(2) 支持 IPSec、PPTP、GRE。 
(3) 支持 星 型 VPN 拓扑 结构 。 分 支 机 构 可 以 通过 总 部 的 VPN 中 心 自动 连接 。 
(4) 支持 VPN 的 NAT 穿越 。 
(5) 加 密 算法 为 3DES 或 第 三 方 软 硬 件 加 密 算法 。 
(6) 认证 算法 为 SHA1 及 M5。 
(7) 支持 完整 的 X.509 V3 证 书 。 
(8) 支持 IKE (RSA, share), 
(9) 支持 硬件 加 速 卡 。 
(10) 客户 端 支持 包括 NetST 防火 墙 、 所 有 Windows 操作 系统 以 及 其 他 支持 IPSec 的 防 
火 墙 。 
13) 支持 GRE 通道 (通用 路 由 封装 协议 ) 
NetST 防火 墙 提供 对 数据 的 封装 , 这 样 内 网 机 器 就 可 以 直接 访问 GRE 通道 对 端 内 部 网 络 。 
14) 用 户 身份 访问 控制 
NetST 防火 墙 支持 按 用 户 身 份 进行 访问 控制 。 用 户 需要 首先 进行 登录 ， 由 防火 墙 外 置 











9) 自 定义 防火 墙 最 大 并 发 连接 数 Ж» 
如 果 网 络 中 主机 数量 不 算 很 多 ， re 反而 会 降低 防火 墙 工 作 效 
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的 身份 验证 服务 器 验证 用 户 的 身份 和 网 络 访问 的 权限 ， 防 火 墙 根据 用 户 登录 的 情况 动态 调 
整 规 则 允许 以 用 户 工作 站 访问 网 络 。 

15) 完善 的 访问 控制 

为 保证 系统 的 安全 性 和 提高 防护 能 力 ， 增 强 控制 的 灵活 性 ，NetST 防火 墙 采用 了 多 级 

(1) 以 基于 操作 系统 内 核 的 会 话 检测 技术 为 核心 ， 在 IP 层 提供 基于 状态 检测 的 分 组 过 
ЖЕ, 可 以 根据 网 络 地 址 、 网 络 协议 以 及 TCP、UDP 端口 进行 过 滤 。 在 应 用 层 通 过 重 写 通信 
会 话 的 部 分 或 者 全 部 来 提供 对 高 层 应 用 协议 命令 、 网 络 地 址 段 、 网 络 地 址 与 网 络 服务 端口 
等 的 过 滤 。 同 时 还 提供 认证 服务 器 进行 用 户 级 鉴别 和 过 滤 控 制 。NetST 防火 墙 的 多 级 过 渡 
形成 了 立体 的 、 全 面 的 访问 控制 机 制 。 

(2) 支持 带宽 管理 ， 具 有 粒度 细致 、 方 便 灵 活 的 带宽 管 能 ， 可 以 防止 用 户 滥 用 带 
宽 。 目 前 可 以 限制 一 组 用 户 可 以 使 用 的 最 大 带宽 。 ы 行 带宽 管理 的 任意 两 个 通 
信 对 象 ， 设 立 它们 之 问 通信 的 最 大 带宽 。 

(3) 支持 与 入 侵 检测 系统 的 联动 ， 实 施 ! тм 异常 连接 、 异 常 的 端口 扫描 等 ， 

定 出 完 



















































































并 对 异常 活动 实时 报警 ， 自 动 执行 阻 断 等 


(4) 管理 员 E 9 1 完善 的 访问 控制 策略 。 


时 监测 系统 状态 ， 如 系统 负 区 用 情况 、 用 上 状态 等 ， 方 便 及 时 地 了 解 系 统 
的 状态 ， 并 且 在 必要 的 时 人 多 相应 的 行动 。 

17) ЗЕ ЕН жн 

NetST р/н пипа ВЕ, РЕНА АР, ШІН Ж 


文字 或 图 қ)! 


С 应 用 案例 





16) 实时 动态 监测 
NetST 防火 墙 可 对 通过 防火 里 Erreg, 管理 界面 中 ， 管 理 员 可 以 实 


防火 墙 部 署 与 配置 案例 


f EE РТ mkita B illa] (H ó ЛА ах up Xi E НШІ А (БІН A ea Е ДА IKEL ЕНІ BJ 
(ӨЗІНДЕ a Е PE" (НЕСИЕСІНЕ НЕ ZW JH ph X” MERA ГА vii Z ХИЙ Pe UM 
ІНІСІ 

1XIü ЯНА 

nu y DE ENEJ k FODERA 

(1) 60878 1 Internet HRE 25 Z202.205.113.65 [X š ЕЕ 2 202.205.113.110 

(2) BAAR WWW  FTP` SMTP f POP3 fif IXE RIE SF Dos БЕРГІ 

(3) AN зера ШЕН КЕ ате И IKAR ALA Н E RIKETE 1 04% 8478 TE Internet %, DMZ RIRIK 
TEM 2 RR Е DMZ fy Bi IKE В 8 Internet 

(4) ERER ETEN RE 2888 8 Hi ЗА: ГУ t ë E НӘ, E Te Internet % DMZ 1815 // 
TE D 52 HH ARDEL ICMP Z gi" UDP RAAR AEE ER 6: ТСР RAGE WWW> FTP ЖАРЫН 
Fe Intenet X Э. 05820 Mail ffš 8 n£ E EE NO 
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1)5Ë 192.168.3.0/24(07:218#1 JINR R 192.168.1.2 JH ita] (ë BT 80 JU S BA ë ЕРНЕУІ М2 8 ЕКЕ Е 

zal ff 81k E DMZ F f Z 10.10.10.0/2241XWWW (8 16 Z10.10.10.10IXFTP (8818 ,210.10.10.201Х 
MAIL (#8 Z 10.10.10.30 

NetST (ЕЕ ЗЕ Te Internet Пл ба DMZ MEERI E 7.7 ҚЫС 










NetST f fB W fu) ем Z 
ss .85 (WWW)™ (FTP)` (MAIL) 
7 192.168.3.1 


SXR ME xP 
1) іш NetST БІН 

(тата DA| NetbT (ІЗІН hi W аў MEPR AR SIK PHE К CO БІНЕ 45 9106 35 
ааа (8%. NetST wah: 


2) EN 
MEE NetST 人 
3) WE МАТ (Rhik 
NI f: НӘ add nat type огі ѕгс ір огі 484 ір ori_port trans_src_ip ігапв @51 ір ітапѕ рог) 
БИН МАТ (ЖЕЛІН МАТ Б ЙЫР ARAXE ҢЫ) Бі МАТ MSE typo) ХЕ ЛИЯ ІР (957 
(огі ѕгс ір)” WEOE IP (27 (огі 50 ip) ЖЖ (огі рог)” ЖЕЙТІН ІР (947((ғапв ѕгс ір) %/4 
ñz UD IP (5 (тапв 450 ір)” ЖЛ (гапѕ роп) 
МАТ Ji SEREI static(s)(Jiš£ МАТ)3Е dynamic(d)( fB МАТ) ЯС 
Ja IP НИН До оо .5 6 6 ооо 6 6 ó /6 БІЛЕГІН any ЖЫН 
J IP Ха ó Jt IP f =; F IRE BE CHE ШЕ E RBU TCP ENE UDP ЯЯЯ http(80) ` ftp(21)” 
іеіпе(23)” smtp(25)` pop-3(110)ffë IX88 апу Чй ОЛЕИН) 
МАТ ИЯ МАТ 免 哲 伯 NATIX0E ЕО ІНІН IP f ЕЕЕ ШИН IP (65 PJ XW í НЕ NATIX 
TE pk kutu ДЕНІҢ а ae Ci ВЕ А utk JE IP (6 а АЕ IE IP (6 =; PCP IXR 4 塘 哲 借 NATIX 密 威 
ЖАНА ale BL wa Ше Te f$ Big CHE ЛИК ШӨ a át fB [E БӘНИ НЕЕ АП 
ШЫҢ МАТ fll 1 fe DMZ fj Mail (RIRES = Б ña IX p А ЗЕ Internet Z 
admin@NetST>add nat static 192.168.1.0/24 any any 202.205.113.65 any апу 
admin@NetST>add nat static 10.10.10.30 any smtp 202.205.113.65 any smtp 
HERI NAT ЖЕДЕ MP GHS 2 B| Si P E IX Аа да SE E Te f RR Z 
admin@NetST>add nat static any 202.205.113.65 www any 10.10.10.10 www 
admin@NetST>add nat static any 202.205.113.65 ftp any 10.10.10.20 ftp 
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admin@NetST>add nat static апу 202.205.113.65 smtp any 10.10.10.30 smtp 
admin@NetST>add nat static any 202.205.113.65 pop-3 any 10.10.10.30 pop-3 
4) ERE RE 
INEI 3: FEJ add rule(ru) protocol вгс ір dst_ip service/icmp_type interface position action 
GWENT БН НДІ Fi ЕМЕНІ 6 8 Fi ЕДЕР PERAI Z hÚ ERA WH IP (57 AO (6277 Е 
ЖЗ а Е Eki 32 JU C kk БӘСІ ЈЕ 9525 (protocol) ` 19 IP (925%(вгс ір) ФТОР ІР (8 57(4ө4 ір)” 
А Bš í ЗА (вегуісейстр (уре)” WER E(interface_position ЫЗ ШОН SARA 22 ЖасбпопИХІ ETS 
RO RNE AFA 14210) 
(Т) RAZA anyk U 25181)” tcp(TCP 2208)” udp UDP 4) icmp(ICMP NO 
(2) RP ES REH IP SREE До 56.556.566.566/66КХШ 
АТОР IP ХБ ІХ HAE 5 ЕЕ ТХ Ek R T E АТХ ЙЕ 7090 апу ШЫР IP (27101 
(3) ИЯТ TCP RENE UDP 9 Е IKIE му мау ісіпе(23)” smtp(25) ` 
pop-3(110)ffë Ci 
(4) WORE U g internal" external" DMZ 90 (8109 


ОР ИННИ tE А ë E fe ji hh 2 тв Ез 
лау Jr O 


W ENE MI Z AXA 
admi (Wan delall rule 


hi r AE EAEE 1 па R 53 (ІК) 
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admin(@NetST> mp 192.168.1.0/: any internal accept 
айтіп(а)Че192 «док udp 192.168.1./ Aa mena accept 
а pd а СИА Я 
па 










% DMZ W (u Ci 
ор)” ассері( 12%) content (8/97 


>add rule (ср 10.1 smtp dmz accept 


admi 
ee J DMZ 93019 Sim FTP (RR MAIL RR Z 
XS (@NetST>add rule ЭЯ y 1010.10.10 www external accept 
d: 


Imin@NetST>add rule (ср апу 10.10.10.20 ftp external accept 
admin@NetST>add rule tcp any 10.10.10.30 smtp external accept 


admin@NetST>add rule tcp any 10.10.10.30 pop-3 external accept 
жн e tik E AE |204 DMZ BAE WWW (3 067 FTP (9 067 MAIL (3106 А 
admin@NetST>add rule tcp any 10.10.10.30 pop-3 internal accept 
admin@NetST>add rule tcp any 10.10.10.30 smtp internal accept 
admin@NetST>add rule (ср any 10.10.10.10 www internal accept 
admin@NetST>add rule tcp any 10.10.10.20 ftp internal accept 
ENA E Rna 1 үң Be BR Е ТЕ Internet Е WWW` FTP (RIR Z 
admin@NetST>add rule (ср 192.168. 1.0/24 апу www internal accept 
admin@NetST>add rule tcp 192.168.1.0/24 any ftp internal accept 


75 Á = J Z 
本 章 讲述 了 防火 墙 这 种 网 络 安全 最 基本 的 防护 技术 ， 概 括 了 防火 墙 的 主要 功能 、 几 种 


主流 技术 类 型 以 及 防火 墙 存在 的 缺陷 。 通 过 典型 案例 分 析 介绍 了 防火 墙 在 网 络 安全 防护 体 
系 中 的 部 署 方 法 以 及 配置 要 点 。 


ле 
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7.6 本 章 实 训 


实 训 1: 防火 墙 设备 配置 

实 训 目的 

配置 防火 墙 硬件 设备 ， 实 现 它 的 基本 功能 ， 即 地 址 转换 和 访问 控制 等 。 

实 训 环境 

- 台 普 通 计算 机 接 入 局 域 网 ІР 地 址 设置 为 自动 获得 SN - 台 Cisco PIX 506Е 防 

火 墙 连接 局 域 网 和 Internet。 如 果实 验 室 用 的 是 其 他 厂商 则 配置 方法 不 同 ， 但 原理 
和 功能 基本 一 致 ， 因 此 以 下 又 仅 供 参 考 , "i 读 所 使 用 的 防火 墙 设备 厂商 提 
供 的 手册 来 完成 配置 ， 如 果实 验 室 不 具备 防火 ， 也 可 以 在 网 络 设备 配置 模拟 工 
具 上 配置 实现 基本 的 防火 墙 功 能 ， 作 者 R o Packet Tracer 5.3 及 МАТ #1 ACL 配置 


参考 文件 ， 本 书 限 — 


实 训 内 容 x > 

熟悉 Cisco PIX 506E [0724 置 方法 。 xP 

(1) 将 Cisco PIX 5 J Khi rE 5 a 并 开机 启动 。 设 置 计算 
机 的 全 地 址 为 ke 地 址 。 以 пара YATI Cisco PIX 506E 防火 墙 配置 界面 ， 
如 图 7.8 ny 备 信 息 、 网 卡 状态 从 系统 资源 状态 和 通信 状态 。 
(2) 在 AddRule 对 话 框 中 增加 一 条 规则 ， 使 其 生效 并 测试 ， 如 图 7.9 和 图 7.10 所 示 。 
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图 7.8 防火 墙 配置 主 界面 图 7.9 增加 规则 1 












增加 规则 2 


slation Rules з}. 设置 NAT 地 址 转换 , 如 图 7.11 
所 示 。 


(3) 在 Configuration CE 
4 


图 7.11 增加 NAT 


(4) 设置 默认 静态 路 由 ， 如 图 7.12 所 示 。 
(5) 设置 DHCP 的 地 址 范围 ， 如 图 7.13 所 示 。 








7.13 设置 DHCP 的 地 址 范围 


实 训 2: Windows 2000 IP 安全 策略 


实 训 目 的 


ІР 筛选 器 列表 触发 建立 在 与 源 、 目 标 及 ТР 传输 类 型 匹配 的 基础 上 的 安全 协商 。 这 种 类 
型 的 IP 包 簿 选 允许 网 络 管理 员 准 确定 义 哪些 ІР 传输 将 受到 保护 。 每 个 IP 筛选 器 列表 包含 
一 个 或 多 个 筛选 器 ， 它 定义 了 IP 地 址 和 传输 类 型 。 一 个 卫 筛选 器 列表 可 用 于 多 个 通信 情 
形 。 本 实验 的 目的 是 利用 Windows 2000 自身 的 ІР 安全 策略 实现 防火 墙 功能 。 

445 端口 能 让 用 户 在 局 域 网 中 轻松 访问 各 种 共享 文件 夹 或 共享 打印 机 ， 但 也 正 是 因为 
有 了 它 会 在 联网 的 计算 机 上 留 下 安全 隐患 ， 本 实验 的 具体 目标 就 是 封 堵 住 445 端口 漏洞 。 


实 训 环境 
安装 Windows 2000 服务 器 的 一 台 计 算 机 。 
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实 训 内 容 


(1) 在 Windows 2000 Server 计算 机 上 选择 【开始 】| 【设置 】| 【控制 面 板 】 命令， 在 打 
开 的 窗口 中 双击 【管理 工具 】 图 标 ， 并 在 打开 窗口 中 双击 【本 地 安全 策略 】 图 标 ， 在 【本 
地 安全 设置 】 窗 口中 右 击 【IP 安全 策略 】 选 项 ， 选 择 【 管 理 IP 筛选 器 表 和 筛选 器 操作 】 命 
令 ， 如 图 7.14 所 示 。 
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图 7.15 ПІР 筛选 器 列表 】 对 话 框 


(3) 设置 源 地 址 和 目的 地 址 ， 如 图 7.16 所 示 。 

(4) 设置 【协议 】 选 项 卡 ， 如 图 7.17 所 示 。 

(5) 关闭 【IP 筛选 器 列表 】 对 话 框 ， 在 【管理 IP 筛选 器 表 和 筛选 器 操作 】 对 话 框 中 打 
开 【 管 理 筛选 器 操作 】 选 项 卡 ， 取 消 【 使 用 “添加 向 导 ”】 复 选 框 ， 如 图 7.18 所 示 。 

(6) 单 击 【添加 】 按 钮 ， 在 图 7.19 所 示 的 对 话 框 中 选中 【阻止 】 单 选 按钮 。 

(7) 打开 【常规 】 选 项 卡 ， 如 图 7.20 所 示 ， 给 筛选 操作 取 名 。 

(8) 进入 图 7.21 所 示 对 话 框 ， 单 击 【 关 闭 】 按 钮 回 到 【本 地 安全 策略 】 窗 口 。 
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图 7.20 ”给 筛选 操作 命名 7.21 显示 新 筛选 器 操作 


(9) Жан ПР 安全 策略 】 选 项 ， 选 择 【 创 建 IP 安全 策略 】 命 令 ， 如 图 7.22 所 示 。 

(10) 如 图 7.23 所 示 ， 在 【新 规则 属性 】 对 话 框 中 选中 【我 的 筛选 器 列表 1】 单 选 按钮 ， 
即 刚 才 添加 的 筛选 器 列表 。 

(11) 选择 【筛选 器 操作 】 选 项 卡 ， 选 中 【阻止 访问 】 单 选 按钮 ， 也 就 是 刚才 添加 的 ， 
如 图 7.24 所 示 。 
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图 7.24 选择 新 筛选 器 操作 
(12) 指派 独 建 女 全 策略 ， 如 图 7.25 所 示 。 
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7.25 指派 新 建安 全 策略 


(13) 本 项 实验 的 验证 如 图 7.26 和 图 7.27 所 示 。 指 派 安全 策略 之 前 ， 本 机 的 共享 文件 
夹 可 以 被 其 他 计算 机 访问 ， 指 派 后 再 进行 相同 操作 将 被 拒绝 
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图 7.26 指派 安全 策略 之 前 可 以 访问 共享 文件 
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727 ”指派 安全 策略 之 后 访问 被 拒绝 


77 本 章 习 题 


1. дей 


(1) 3 种 常见 的 防火 墙 体系 结构 是 : Х%- 
(2) 在 网 络 层 由 一 个 检测 模块 截获 数据 包 
并 以 此 作为 依据 决定 对 该 连接 是 接受 还 是 拒绝 。 

(3) 工作 在 IP ЈА ТСР 层 ， 所 以 ЭТТ 


2. 选择 题 x 
(Т) 包 过 滤 防 火 墙 工作 在 ( 。 “) K 
А. 物理 层 В. 层 C. 8 
0) Re ХЫ 
A. авиа ҳўйв' 代理 服务 器 
5 D. 内 容 过 滤 防 火 墙 
(3) 防火 墙 示 中 不 包括 ( 
В. ERGS С. 接口 数量 р. 硬盘 容量 








H 与 应 用 层 状态 有 关 的 信 






















3， 简 答题 

(1) 什么 是 防火 墙 ? 

(2) 防火 墙 技术 可 以 分 为 哪些 基本 类 型 ? 各 有 哪些 优 缺 点 ? 
(3) 防火 墙 产品 的 主要 功能 是 什么 ? 

(4) 网 络 防火 墙 是 否 可 以 防 杀 病 毒 ? 

(5) 防火 墙 的 主要 性 能 指标 有 哪些 ? 

(6) 防火 墙 技术 在 网 络 安全 防护 方面 存在 哪些 不 足 ? 
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通过 对 本 章 的 学 习 ， 读 者 应 重点 掌 测 的 概念 、 功 能 、 工 作 原 理 、 分 类 


方法 和 主要 类 型 ， 以 及 入 侵 检 测 技术 
网 络 安全 基础 结构 方面 的 重要 意 》 


Y AFER 


方向 ， 理 解 入 侵 检测 系统 在 构建 完整 的 
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хы 8.1 TRAWA 


关于 入 侵 检 测 的 发 展 历史 最 早 可 追溯 到 1980 年 , 当时 James P. Anderson 在 一 份 技术 报 
告 中 提出 审计 记录 可 用 于 检测 计算 机 误 用 行为 的 思想 , 这 可 谓 是 入 侵 检测 的 开创 性 的 先河 。 
另 一 位 对 入 侵 检 测 同 样 起 着 开创 作用 的 人 就 是 Dorothy E. Denning， 他 在 1987 年 提出 了 实 
时 入 侵 检测 系统 模型 ， 此 模型 成 为 后 来 的 入 侵 检 测 研究 和 系统 原型 的 基础 。 





























8.1.1 入 侵 检 测定 义 


入 侵 检测 系统 (Intrusion Detection System，IDS) 是 防火 墙 的 合理 补充 ， 帮 助 系统 对 付 网 
络 攻击 ， 扩 展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 )， 提 
高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ， 并 分 析 
这 些 信息 ， 在 发 现 入 侵 后 ， 及 时 作出 响应 ， 包 括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 入 侵 
检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监 
测 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 
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8.1.2 “入 侵 检测 系统 的 主要 功能 

-个 完整 的 入 侵 检 测 系统 必须 具备 下 列 主 要 功能 。 

І. 可 用 性 

为 了 保证 系统 安全 策略 的 实施 而 引入 的 入 侵 检测 系统 必须 不 能 妨碍 系统 的 正常 运行， 
保障 系统 性 能 。 

2. 时效 性 

IDS 必须 及 时 地 发 现 各 种 入 侵 行为 ， 理 想 情况 是 在 事前 发 现 攻击 企图 ， 比 较 现 实 的 情 
况 则 是 在 攻击 行为 发 生 的 过 程 中 检测 到 。 如 果 是 事后 才 发 现 攻击 的 结果 ， 必 须 保证 时 效 竹 ， 
因为 一 个 已 经 被 攻击 过 的 系统 往往 就 意味 着 后 门 的 引入 以 及 后 续 的 攻击 行为 。 

з жан 

入 侵 检测 系统 自身 必须 安全 ， 如 果 入 侵 检测 系统 
着 信息 的 无 效 ， 而 更 严重 的 是 入 侵 者 控制 了 入 
为 一 般 情况 下 入 侵 检测 系统 者 是 以 特权 状态 

4 可 扩展 性 жу 

ЕЛІ за Да аи, 


9 安全 性 得 不 到 保障 ， 首 先 意味 
统 ， 即 获得 了 对 系统 的 控制 权 ， 因 














在 现 有 机 制 不 变 的 前 提 下 能 够 
ДЕ 第 二 是 体系 结构 的 可 扩展 性 ， 在 
构 进行 修改 的 前 名 下 加 强 检测 手段 ， 以 保证 能 够 检 





we 8.2 仿 测 系统 的 组 成 


为 了 提高 IDS 产品 、 组 件 及 与 其 他 安全 产品 之 间 的 互 操 作 性 ， 美 国 国防 高 级 研究 计划 
署 (DARPA) 和 互联 网 工程 任务 组 (IETF) 的 入 侵 检测 工作 组 IDWG) 发 起 制定 了 一 系列 建议 草 
案 ， 从 体系 结构 、API、 通 信 机 制 、 语 言 格式 等 方面 规范 105 的 标准 。DARPA 提出 的 建议 
是 公共 入 侵 检测 框架 (CIDF)， 最 早 由 加 州 大 学 戴 维 斯 分 校 安全 室 主 持 起 草 工 作 。CIDF 提出 
了 一 个 通用 模型 ， 将 入 侵 检测 系统 分 为 4 个 基本 组 件 : 事件 产生 器 、 事 件 分 析 器 、 事 件 响 
应 单元 和 事件 数据 库 ， 其 结构 如 图 8.1 所 示 。 


事件 响应 单元 






















































| 事件 产生 器 | 


图 8.1 CIDF 的 模型 


第 8 章 “入 侵 检测 系统 


1， 事 件 产生 器 


CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 ,事件 既 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 
系统 日 志 或 其 他 途径 得 到 的 信息 .事件 产生 器 (Event Generators) 的 任务 是 从 入 侵 检测 系统 之 
外 的 计算 环境 中 收集 事件 ， 并 将 这 些 事件 转换 成 CIDF 的 (统一 入 侵 检测 对 象 GIDO) 格 式 传 
送 给 其 他 组 件 。 例 如 ， 事 件 产生 器 可 以 是 读 取 C2 级 审计 跟踪 并 将 其 转换 为 GIDO 格式 的 
过 滤器 ， 也 可 以 是 被 动 地 监视 网 络 并 根据 网 络 数据 流产 生 事件 的 另 一 种 过 滤器 ， 还 可 以 是 
SQL 数据 库 中 产生 描述 事务 的 事件 的 应 用 代码 。 

2， 事 件 分 析 器 


事件 分 析 器 (Event Analyzers) 分 析 从 其 他 组 件 收 到 的 GIDO 
送 给 其 他 组 件 。 分析 器 可 以 是 一 个 轮廓 (profile) 描 述 工具 ,J 统 
能 与 以 前 某 个 事件 来 自 同一 个 时 间 序列 ， 也 可 以 是 一 人 
列 中 检测 是 否 有 已 知 的 误 用 攻击 特性 ， 此 外 ， 事 件 yi 

之 间 的 关系 ， 将 有 联系 的 事件 放 在 一 起 ， 以 和 


3， 事 件数 据 库 R 
事件 数据 库 (Event — sa 以 备 系统 需要 的 时 候 使 用 。 


4. 事件 响应 单元 Ж 
аван. вета Се 并 据 此 采取 相应 的 措施 ， 如 相关 进 




















并 将 产生 的 新 GIDO 再 传 
惟 地 检测 现在 的 事件 是 否 可 
事件 序 































程 、 将 连接 复位 等 。 

在 这 个 模 “Eds. SER D 事件 响应 单元 通常 以 应 用 程序 的 形式 出 现 ， 
而 事件 数据 танан Ж, 102105 厂商 都 以 数据 收集 部 分 、 数 据 分 析 
部 分 和 控制 台 部 分 3 个 术语 分 别 代表 事 件 产生 器 、 事 件 分 析 器 、 响 应 单元 。 

以 上 4 个 组 件 只 是 逻辑 实体 ， 一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ， 也 
可 能 是 多 台 计 算 机 上 的 多 个 进程 , 它们 以 GDO 格式 进行 数据 转换 。 GIDO 是 对 事件 进行 编 
码 的 标准 通用 格式 (由 CIDF 描述 语言 CISL 定义 )，GIDO 数据 流 可 以 是 发 生 在 系统 中 的 审 
计 事 件 ， 也 可 以 是 对 审计 事件 的 结果 分 析 。 








TI 
































83 入侵 检测 系统 的 分 类 


对 入 侵 检测 系统 的 分 类 方法 很 多 ， 根 据 着 眼 点 的 不 同 ， 主 要 有 4 种 分 类 方法 。 

(1) 按 数据 来 源 和 系统 结构 分 类 ， 入 侵 检测 系统 可 以 分 为 3 类 : 基于 主机 的 入 侵 检测 
系统 、 基 于 网 络 的 入 侵 检测 系统 和 分 布 式 入侵 检 测 系统 (混合 型 )。 

(2) 根据 数据 分 析 方法 (也 就 是 检测 方法 ) 的 不 同 ， 入 侵 检测 系统 可 以 分 为 两 类 : 异常 检 
测 模型 和 误 用 检测 模型 。 

(3) 按 数据 分 析 发 生 的 时 间 不 同 ， 入 侵 检测 系统 可 以 分 为 两 类 : 离线 检测 系统 和 在 线 
检测 系统 。 
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(4) 按照 系统 各 个 模块 运行 的 分 布 方式 不 同 ， 入 侵 检 测 系统 可 以 分 为 两 类 : 
测 系统 和 分 布 式 检测 系统 。 


8.3.1 按 数据 来 源 和 系统 结构 分 类 


І. 基于 主机 的 入 侵 检测 系统 


基于 主机 的 入 侵 检 测 系统 的 输入 数据 来 源 于 系统 的 审计 日 志 ， 即 在 每 个 要 保护 的 主机 
上 运行 一 个 代理 程序 ， 一 般 只 能 检测 该 主机 上 发 生 的 入 侵 ， 基 于 主机 的 入 侵 检测 系统 一 般 
在 重要 的 系统 服务 器 、 工 作 站 或 用 户 机 器 上 运行 ， 监 视 操 作 系 统 或 系统 事件 的 可 疑 活动 ， 
u ій 合法 的 活动 ， 然 


集中 式 检 








bd 








后 把 这 种 安全 策略 转换 成 入 侵 检 测 规则 。 


1) 主机 入 侵 检测 系统 的 优点 
主机 入 侵 检测 系统 对 分 析 “ 可 能 的 攻击 行为 ” 。 举 例 来 说 ， 有 时 它 除 了 指出 


入 侵 者 试图 执行 一 些 “ 人 危险 的 命令 ” аж 56) 入 侵 者 干 了 什么 事 、 他 们 运行 了 什 
么 程序 、 打 开 了 哪些 文件 、 执 行 了 哪些 系统 2240 


相 比 ， 通 常 能 够 提供 更 详尽 的 相关 信 : 

as 
行 的 命令 序列 比 检测 网 络 流 更 简 羡 y“ 系 统 的 复杂 性 

主机 入 侵 检 测 系统 可 部 署 奉 要 广泛 的 内 侵 不 1 传感器 与 控制 台 之 问 的 通信 
а а "тез 诸如 “停止 服务 ”“ 注 销 用 户 ” 等 响应 方 
法 时 风险 较 少 。 
2) 主机 сана Ж 

主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 。 举 例 来 说 ， 当 一 个 数据 库 服务 器 要 保护 
时 ， 就 要 在 服务 器 本 身上 安装 入 侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 。 此 外 ， 它 也 会 带 
来 一 些 额外 的 安全 问题 ， 安 装 了 主机 入 侵 检测 系统 后 ， 将 本 不 允许 安全 管理 员 有 权力 访问 
的 服务 器 变 成 可 以 访问 的 。 

主机 入 侵 检测 系统 的 另 一 个 问题 是 它 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 
器 没有 配置 日 志 功能 ， 则 必须 重新 配置 ， 这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 
影响 。 

全 面部 署 主 机 入 侵 检测 系统 代价 较 大， 企业 中 很 难 将 所 有 主机 用 主机 入 侵 检测 系统 保 
护 ， 只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ， 入 
侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

2. 基于 网 络 的 入 侵 检 测 系统 


基于 网 络 的 入 侵 检 测 系统 的 输入 数据 来 源 于 网 络 的 信息 流 ， 该 类 系统 一 般 被 动 地 在 网 
络 上 监听 整个 网 络 上 的 信息 流 ， 通 过 捕获 网 络 数据 包 ， 进 行 分 析 ， 检 测 该 网 段 上 发 生 的 
络 入 侵 ， 如 图 8.2 所 示 。 


20 




















































































ЕЗ 








第 8 章 入 侵 检 测 系 统 








图 8.2 基于 网 络 的 入 侵 检测 过 程 
1) 网 络 入 侵 检测 系统 的 优点 














络 入 侵 检 测 系统 不 需要 改变 服务 器 等 主机 的 配置 。 不 会 在 业务 系统 的 主机 中 
安装 额外 的 软件 ， 从 而 不 会 影响 这 些 机 器 的 CPU、1/O 等 资源 的 使 用 ， 不 会 影响 
务 系统 的 性 能 。 
日 于 网 络 入 侵 检 测 系统 不 像 路 
统 中 的 关键 路 径 。 由 于 网 络 入 侵 检测 系统 发 
Л 以 
е 


BCA 


网 络 入 侵 检 测 系统 能 够 检测 那些 来 自 网 络 的 攻击 ， 人 问 。 


















当 等 rt 因此 它 不 会 成 为 系 
汰 寻 不 会 影响 正常 业务 的 运行 ， 因 此 部 署 一 
受 检测 系统 的 风险 小 得 多 。 

发 展 的 趋势 ， 安 装 这 样 的 一 个 网 络 入 侵 检测 
电源 ， кен 将 其 连 到 网 络 上 即 可 。 











































网 络 入 侵 检测 系统 近年 内 有 向 
系统 非常 方便 ， 只 需 将 定制 的 
2) 网 络 入 侵 检测 系统 


络 入 侵 检测 系统 只 梅 答 它 直接 连接 网 自 :能 检测 在 不 同 网 段 的 网 络 包 。 在 
使 用 交换 以 太 网 的 环境 单 就 会 出 现 监测 范围 的 局 联 ， 而 安装 多 台 网 络 入 侵 检测 系统 的 传 感 


本 大 大 增加 。 Yz 
网 络 入 人 为 了 提高 性 能 通 章 肥 用 特征 检测 的 方法 ， 它 可 以 检测 出 一 些 普通 攻 
击 ， 而 很 难 检测 '- 些 复杂 的 需要 大 量 计 算 与 分 析 时 间 的 攻击 。 
四 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 监听 特定 的 数 
据 包 会 产生 大 量 的 分 析 数 据 流量 。 一些 系统 在 实现 时 采用 一 定 的 方法 来 减少 回 传 的 数据 量 ， 
对 入 侵 判 断 的 决策 由 传感器 实现 ， 而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ， 不 再 作为 入 侵 
行为 分 析 器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 
络 入 侵 检 测 系统 处 理 加密 的 会 话 过程 较 困难 ， 目 前 通过 加 密 通道 的 攻击 尚 不 多 ， 但 
随 着 IPv6 的 普及 ， 这 个 问题 会 越 来 越 突 出 。 

3. 分布 式 入 侵 检测 系统 (混合 型 ) 

分 布 式 入 侵 检测 系统 一 般 由 多 个 部 件 组 成 ,分布 在 网 络 的 各 个 部 分 ， 完 成 相应 的 功能 ， 
分 别 进行 数据 采集 、 数 据 分 析 等 。 通 过 中 心 的 控制 部 件 进行 数据 汇总 、 分 析 、 产 生 入 侵 报 
警 等 。 在 这 种 结构 下 ， 不 仅 可 以 检测 到 针对 单独 主机 的 入 侵 ， 同 时 也 可 以 检测 到 针对 整个 
网 络 上 的 主机 的 入 侵 。 


832 ” 按 数据 分 析 方 法 分 类 
1 异常 检测 模型 
异常 检测 模型 (Abnormaly Detection Model) 的 特点 是 首先 总 结 正常 操作 应 该 具有 的 特 






















































































E оз 


征 ， 建 立 系统 正常 行为 的 轨迹 ， 理 论 上 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企 
图 。 对 于 异常 阔 值 与 特征 的 选择 是 异常 发 现 技术 的 关键 ， 例 如 ， 特 定 用 户 的 操作 习惯 与 某 
种 操作 的 频率 等 ， 在 得 出 正常 操作 模型 之 后 ， 对 后 续 的 操作 进行 监视 ， 一 旦 发 现 偏离 正常 
统计 学 意义 上 的 操作 模式 ， 即 进行 报警 。 可 以 看 出 ， 按 照 这 种 模型 建立 的 系统 需要 具有 一 
定 的 人 工 智 能 ， 由 于 人 工 智能 领域 本 身 的 发 展 缓慢 ， 基 于 异常 检测 模型 建立 的 入 侵 检测 系 
统 的 工作 进展 也 不 是 很 好 。 异 常 检 测 技 术 的 局 限 并 非 使 所 有 的 入 侵 都 表现 为 异常 ， 而 且 系 
统 的 轨迹 难于 计算 和 更 新 。 

2. 误 用 检测 模型 

误 用 检测 模型 (Misuse Detection Model) 又 称 特征 检测 模型 , 这 种 模型 的 特征 是 收集 非 正 
ва ауа a re 


据 与 特征 库 中 的 特征 代码 进行 比较 ， 得 出 是 否 是 入 侵 的 线 ; 以 看 出 ， 这 种 模型 与 主流 
的 病毒 检测 方法 基本 一 致 ， 当 前 流行 的 入 侵 检测 系统 -采用 这 种 模型 。 特 征 检测 的 优 
点 是 误 报 少 、 比 较 准确 ， 局 限 是 只 能 发 现 已 知 的 或 让 未 知 的 攻击 无 能 为 力 。 
83.3 ” 按 数据 分 析 发 生 的 时 间 分 类 xç 

1， 离 线 检测 系统 Қ 


БЕЛЕ УИА ОУУ Хо 
而 不 ; 为 发 生 的 同时 ; 实时 工作 的 系统 。 如 对 
н 有 RU ° - 般 而 言 ， 脱 机 分 析 也 不 会 间隔 很 


长 时 间 ， 所 谓 的 脱 机 只 是 与 а. 










































































， 对 产生 的 数据 进行 分 析 ， 










并 





ж 

在 线 检测 系统 又 称 为 联机 分 析 检 测 系统 ， 就 是 在 数据 产生 或 者 发 生 改变 的 同时 对 其 进 
行 检 查 ， 以 便 发 现 攻击 行为 ， 它 是 实时 联机 的 检测 系统 。 这 种 方式 一 般 用 于 网 络 数据 的 实 
时 分 析 ， 有 时 也 会 用 于 实时 主机 审计 分 析 。 它 对 系统 资源 的 要 求 比 较 高 。 
834 按 系统 各 个 模块 运行 的 分 布 方式 分 类 

1， 集 中 式 检测 系统 

系统 的 各 个 模块 包括 数据 的 收集 与 分 析 以 及 响应 模块 都 集中 在 一 台 主 机 上 运行 ， 这 种 
方式 适合 于 网 络 环境 比较 简单 的 情况 。 

2 分布 式 检测 系统 


系统 的 各 个 模块 分 布 在 网 络 中 的 不 同 计算 机 、 设 备 上 ， 一 般 来 说 ， 分 布 性 主要 体现 在 
数据 模块 上 ， 例 如 ， 有 些 系统 引入 的 传感器 ， 如 果 网 络 环境 比较 复杂 、 数 据 量 比较 大 ， 那 
么 数据 分 析 模 块 也 会 分 布 ， 一 般 是 按照 层次 性 的 原则 进行 组 织 ， 如 AAFID 的 结构 。 

各 种 分 类 方法 体现 了 对 入 侵 检测 系统 理解 的 不 同 侧面 ， 但 是 正如 前 面 所 说 ， 入 侵 检测 
的 核心 在 于 分 析 模 块 ， 而 按 数据 分 析 方 法 分 类 则 最 能 体现 分 析 模 块 的 核心 地 位 ， 因 此 在 本 
书 中 采取 了 这 种 分 类 方法 作为 后 续 介绍 的 依据 。 
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84 ”入 侵 检 测 系统 的 工作 原理 


入 侵 检 测 的 任务 就 是 在 提取 到 的 庞大 数据 中 找到 入 侵 的 痕迹 。 入 侵 检测 过 程 需 要 将 提 
取 到 的 事件 与 入 侵 检测 规则 等 进行 比较 ， 从 而 发 现 入 侵 行为 。 一 方面 入 侵 检测 系统 需要 尽 
可 能 多 地 提取 数据 以 获得 足够 的 入 侵 证 据 ， 另 一 方面 由 于 入 侵 行为 的 千变万化 而 导致 判定 
入 侵 的 规则 越 来 越 复杂 。 为 了 保证 入 侵 检测 的 效率 和 满足 实时 性 的 要 求 ， 入 侵 检测 必须 在 
系统 的 性 能 和 检测 能 力 之 间 进行 权衡 ， 合 理 地 设计 分 析 策 略 ， 并 且 可 能 要 牺牲 一 部 分 检测 
能 力 来 保证 系统 可 靠 、 稳 定 地 运行 ， 并 具有 较 快 的 响应 速度 。 入 侵 检 测 分 析 技 术 主要 分 为 
两 类 : 异常 检测 和 误 用 检测 。 








8.4.1 ”入侵 检测 系统 的 检测 流程 & 
Е ORTER, BORRA UE 


(1) 数据 提取 模块 的 作用 在 于 为 系统 
变动 信息 ， 也 可 以 是 网 络 上 的 数据 信息 


”数据 的 来 源 可 以 是 主机 上 的 日 志 信 息 、 







准 化 等 ， 然 后 将 经 过 处 理 后 的 给 数据 分 析 
(2) 数据 分 析 模 块 的 作 








生 事 件 ， 传 递 给 结果 处 现 模 痰 数据 分 析 的 友 行为 的 计数 ， 
也 可 以 是 一 个 复杂 "4 该 模块 是 

(3) 结果 处 班 作用 在 于 告 六 也 就 是 发 现 攻击 企图 或 者 攻击 之 后 ， 需 要 
sn 895526, 包括 报告 、 记 录 /反应 和 恢复 。 


842 ”基于 异常 的 入 侵 检测 方法 


基于 异常 的 入 侵 检测 方法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 有 一 定 的 规律 ， 

且 可 以 通过 分 析 这 些 行为 产生 的 日 志 信息 (假定 日 志 信息 足够 安全 ) 总 结 出 这 些 规律 ， 而 
入 侵 和 滥用 行为 则 通常 和 正常 的 行为 存在 严重 的 差异 ， 通 过 检查 出 这 些 差异 就 可 以 检测 出 
这 些 入 侵 。 这 样 就 可 以 检测 出 非法 的 入 侵 行为 甚至 是 通过 未 知 方法 进行 的 入 侵 行 为 。 此 外 
不 属于 入 侵 的 异常 用 户 行为 (滥用 自己 的 权限 ) 也 能 被 检测 到 。 

要 完成 上 述 的 检测 ， 需 要 解决 以 下 几 个 问题 。 

(1) 用 户 的 行为 有 一 定 的 规律 ， 但 应 选择 能 反映 用 户 的 行为 ， 而 且 能 容易 地 获取 和 处 
理 的 数据 。 
(2) 通过 上 面 的 数据 ， 如 何 有 效 地 表达 用 户 的 正常 行为 ? 使 用 什么 方法 (和 数据 ) 反 映 
出 用 户 正 常 行为 的 概貌 ?怎样 既 能 学 习 用 户 新 的 行为 ， 又 能 有 效 地 判断 出 用 户 行为 的 异 
常 ? 而 且 ， 这 种 入 侵 检测 系统 通常 运行 在 用 户 的 机 器 上 对 用 户 行为 进行 实时 监控 ， 因 此 
所 使 用 的 方法 必须 具有 一 定 的 时 效 性 。 所 以 要 考虑 学 习 过 程 的 时 间 长 短 ， 用 户 行为 的 时 
效 性 等 问题 。 
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1， 基 于 统计 学 方法 的 异常 检测 系统 

这 种 系统 使 用 统计 学 的 方法 来 学 习 和 检测 用 户 的 行为 。 鉴 于 人 工 智 能 领域 的 发 展 缓慢 ， 
统计 学 方法 可 以 说 是 一 种 比较 现实 的 方法 ，SRI International 的 NIDES(Next-generation 
Intrusion Detection Expert System) 就 是 一 个 典型 的 基于 统计 学 方法 的 异常 检测 系统 例子 。 
1995 年 后 随 着 研究 重点 的 转移 , 该 系统 没有 进一步 的 研究 , 但 其 中 的 思想 仍然 值得 研究 学 
NIDES 使 用 审计 记录 生成 器 (Aget) 完 成 数据 提取 和 格式 化 功能 ， 并 提交 ed 
统计 分 析 组 件 通过 学 习 用 户 的 行为 ， 完 成 基于 异常 的 入 侵 检 测 功 能 。 检 测 到 的 信息 被 解析 
器 (Resolver) 过 滤 后 ， 由 归档 器 (Archiver) 组 件 存 储 或 通过 用 户 界 面 查看 。 
NIDES 通过 将 一 个 用 户 ( 主 体 ) 的 历史 行为 或 长 期 行为 和 他 的 短期 行为 进行 比较 来 检测 
入 侵 行为 , NIDES 主要 关心 两 个 方面 : 在 短期 行为 中 没有 出 瑰 的 长 期 行为 (没有 进行 习惯 性 
Bhd): 非典 型 长 期 行为 的 短期 行为 (有 异常 的 行为 )。 

- 般 来 说 ， 短 期 行为 与 长 期 行为 肯定 是 有 差异 

而 后 者 包含 了 多 个 行为 ， 在 进行 判断 的 时 候 必 和 
是 记录 这 些 差 异 ， 当 差异 积累 到 一 定 程度 ， 
时 ， 才 会 产生 警告。 R 

2. 预期 模式 生成 法 


使 用 该 方法 进行 入 侵 检 пана тан 这 些 规则 是 由 系统 的 
归纳 引擎 ， 根 据 已 发 生 的 需 6 情况 来 预测 将 件 的 概率 来 产生 的 ， 归 纳 引 擎 为 


每 一 种 事件 设置 可 能 发 率 。 其 归纳 上 қау; 则 一 般 可 写成 以 下 形式 。 




































































和 者 集中 于 某 个 特定 的 行为 ， 
差异 的 存在 。NIDES 采用 的 方法 
短期 行为 和 长 期 行为 有 非常 大 的 差别 












Pl t ))I? > EREE) 
n 入 事件 流 中 包 КМ J El, = Ek, WJ Ekt, = En 这 些 事件 会 
出 现在 将 要 到 输入 事件 流 的 概率 分 别 为 PEK+D)， …，P(Em)。 

按照 这 种 方法 ， 通 常情 况 下 ， 当 规则 的 左边 匹配 了 ， 但 右边 统计 与 预测 相 比 很 不 正常 
时 ， 该 事件 被 标志 为 异常 行为 。 例 如 ， 对 于 规则 A, B: (C，50%)，(D，30%)(E，15%)， 
(F，5%)， 如 果 AB 已 经 发 生 ， 而 了 多 次 发 生 ， 远 远大 于 5%， 或 者 发 生 了 G 事件 ， 都 认为 
是 异常 行为 。 

使 用 这 种 方法 时 ， 那 些 不 在 规则 库 中 的 入 侵 将 会 被 漏 判 。 因 而 ,如 果 事 件 序列 A 一 B 一 C 
是 一 种 入 侵 ， 且 未 在 规则 库 中 列 出 ， 它 将 被 忽略 。 这 可 以 采用 下 面 的 方法 来 部 分 解决 这 一 
问题 。 

(1) 将 所 有 未 知事 件 作 为 入 侵 事件 ， 即 增加 假 警报 。 

(2) 将 所 有 未 知事 件 作为 非 入 侵 事件 ， 即 增加 漏 报 。 

这 些 方法 的 优点 如 下 。 

(1) 基于 规则 的 顺序 模式 能 够 检测 出 传统 方法 难以 检测 的 异常 活动 。 

(2) 用 该 方法 建立 起 来 的 系统 ， 具 有 很 强 的 适应 变化 的 能 力 (这 是 由 于 低 质量 的 模式 不 
断 被 删除 ， 最 终 留 下 的 是 高 质量 的 模式 )。 

(3) 可 以 容易 地 检测 到 企图 在 学 习 阶 段 训练 系统 中 的 入 侵 者 。 

(4) 实时 性 高 ， 可 以 在 收 到 审计 事件 几 秒 钟 内 对 异常 活动 做 出 检测 并 产生 报警 。 
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з. 神经 网 络 方法 


利用 神经 网 络 检测 入 侵 的 基本 思想 是 用 一 系列 信息 单元 (命令 ) 训 练 神 经 单元 ， 这 样 在 
给 定 一 组 输入 后 ， 就 可 能 预测 出 输出 。 与 统计 理论 相 比 ， 神 经 网 络 更 好 地 表达 了 变量 间 的 
非 线 性 关系 ， 并 且 能 自动 学 习 和 更 新 ， 实 验 表 明 UNIX 系统 管理 员 的 行为 几乎 全 是 可 以 预 
测 的 ， 对 于 一 般 用 户 ， 不 可 预测 的 行为 也 只 占 了 很 少 的 一 部 分 。 用 于 检测 的 神经 网 络 模块 
结构 大 致 是 这 样 的 ， 当 前 命令 和 刚 过 去 的 W 个 命令 组 成 了 网 络 的 输入 ， 其 中 W 是 神经 网 
络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根据 用 户 的 代表 性 命令 序列 训练 网 络 后 ， 
该 网 络 就 形成 了 相应 用 户 的 特征 集 ， 于 是 网 络 对 下 一 事件 的 预测 错误 率 在 一 定 程度 上 反映 
了 用 户 行为 的 异常 程度 。 
BE ee TT аео 


任何 统计 假设 ， 并 且 有 很 好 的 抗 干扰 能 力 。 缺 点 在 于 网 以 及 各 元 数 的 权重 很 难 
确定 ， 命 令 窗口 到 的 大 小 也 难以 选择 。 窗 口 太 小 ，】 出 不 好 ， 窗 口 太 大 ， 则 网 络 会 


因为 大 量 无 关 数 据 而 降低 效率 。 使 用 神经 网 络 技术 的 入 侵 检测 系 
















































































统 。 它 是 一 个 离线 批 处 理工 具 ， 它 读 取 用 户 人 令 行 日 志 ， 并 检测 出 用 户 行为 中 的 严 


ТҮЗ R 


4. 基于 数据 挖 气 技 术 的 异常 













ee i nt 常 都 非常 大 ， 如 果 要 从 
大 量 的 数据 中 “浓缩 ” 8,7 -组 值 来 表 的 概貌 ， 并 以 此 进行 对 银行 为 的 


异常 分 析 和 检测 ， 就 数据 挖 气 的 方 Ph 有 一 种 方式 就 是 记录 一 定量 的 格式 化 
后 的 数据 ， 来 进行 入 侵 检测 。 „5 
жанама ANEW ELAS EI A 620 ЭШЕ 77, ЭР BARFE FUH A 


侵 检测 有 一 个 非常 强 的 优势 ， 就 是 能 够 检测 出 未 知 的 攻击 ， 但 在 实际 中 ， 理 论 本 身 也 存在 
- 定 的 缺陷 ， 举 例如 下 。 
(1) 基于 异常 的 入 侵 检 测 系统 首先 学 习 对 象 的 正常 行为 ， 并 形成 一 个 或 一 组 值 表示 对 
象 行为 概貌 ， 而 表示 概貌 的 这 些 数 据 不 容易 进行 正确 性 和 准确 性 的 验证 。 
(2) 通过 比较 长 期 行为 的 概貌 和 短期 行为 的 概貌 检测 出 异常 后 ， 只 能 模糊 地 报告 存在 
异常 ， 不 能 准确 地 报告 攻击 类 型 和 方式 ， 因 此 也 不 能 有 效 地 阻止 入 侵 行 为 。 
(3) 通常 基于 异常 的 入 侵 检 测 系统 首先 要 有 一 个 学 习 过 程 ， 这 个 过 程 不 一 定 能 够 正确 
反映 对 象 的 正常 行为 。 因 为 这 个 过 程 很 可 能 会 被 入 侵 者 利用 。 
这 些 问 题 使 大 多 数 此 类 的 系统 仍然 停留 在 研究 领域 ， 真 正 得 到 发 展 并 且 有 很 多 商业 产 
品 方向 的 是 基于 误 用 的 入 侵 检测 系统 。 
843 ”基于 误 用 的 入 侵 检测 方法 
在 介绍 基于 误 用 (Misuse) 的 入 侵 检测 概念 之 前 ， 先 看 看 误 用 的 含义 ,在 这 里 它 指 “ 可 以 
某 种 规则 、 方 式 或 模型 表示 的 攻击 或 其 他 安全 相关 行为 ”基于 误 用 的 入 侵 检 测 技术 的 含 
义 是 : 通过 某 种 方式 预先 定义 入 侵 行为 ， 然 后 监视 系统 的 运行 ， 并 从 中 找 出 符合 预先 定义 
规则 的 入 侵 行为 。 基 于 误 用 的 入 侵 检 测 技术 也 叫做 基于 特征 的 入 侵 检测 技术 。 
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基于 误 用 的 入 侵 检测 技术 的 研究 主要 是 从 20 世纪 90 年 代 中 期 开始 ， 当 时 主要 的 研究 
组 织 有 SRI、Purdue 大 学 和 California 大 学 的 Davis 分 校 。 最 初 的 误 用 检测 系统 忽略 了 系统 
的 初始 状态 ， 只 对 系统 运行 中 各 种 状态 变化 的 事件 进行 比较 ， 并 从 中 表示 出 相应 的 攻击 行 
为 。 这 种 不 考虑 系统 初始 状态 的 入 侵 信 号 标志 有 时 无 法 发 现 所 有 的 入 侵 行 为 。 

基于 误 用 的 入 侵 检测 系统 通过 使 用 某 种 模式 或 信号 标志 表示 攻击 ， 进 而 发 现 相同 的 攻 
击 。 这 种 方法 可 以 检测 许多 甚至 全 部 已 知 的 攻击 行为 ， 但 是 对 于 未 知 的 攻击 手段 却 无 能 
力 ， 这 一 点 和 病毒 检测 系统 类 似 。 

误 用 信号 标志 需要 对 入 侵 的 特征 、 环 境 、 次 序 及 完成 入 侵 的 事件 相互 间 的 关系 进行 
细 的 描述 ， 这 样 误 用 信号 标志 不 仅 可 以 检测 出 入 侵 行 为 ， 而 且 可 以 发 现 入 侵 的 企图 ( 误 改 
号 局 部 上 的 符合 )。 对 于 误 用 检测 系统 来 说 ， 最 重要 的 技术 问 

(1) 如 何 全 面 描述 攻击 的 特征 ， 覆 盖 在 此 基础 上 的 变 

(2) 如 何 排除 其 他 带 有 干扰 性 质 的 行为 ， 减 少 误 报 

解决 问题 的 不 同方 式 从 一 定 程度 上 划分 了 基 下 
专家 系统 、 模 式 匹 配 (特征 分 析 )、 按 键 监视 、 95 

1， 专 家 系统 










































































广东 ә 





















的 入 侵 检测 系统 的 类 型 ， 主 要 有 : 
L REM, Petric 网 状态 转换 等 。 









i 较 多 的 方法 。 将 有 关 入 侵 的 知识 转换 成 if-then 


TRR if l 1 发现 入 侵 后 采取 的 相应 措施 转 
足 时 , 禹 统 就 判断 为 入 侵 行 为 发 生 . 其 中 的 让 then 
| 语义 环境 可 根据 审计 事件 得 到 ， 推 理 机 


— 工作 。 JUKS 家 系统 主要 面临 以 下 问题 。 
(1) 全 面 он зад епн 全 面 的 规则 化 知识 。 
(2) жн такова, 而 且 在 大 型 系统 上 ， 如 何 获得 实时 连续 的 审 
计数 据 也 是 个 个 问题 
于 具有 这 些 缺 陷 ， 专 家 系统 一 般 不 用 于 商业 产品 中 ， 商 业 产 品 运用 较 多 的 是 模式 匹 
配 ， 也 称 特征 分 析 。 
2. 模式 匹配 
基于 模式 匹配 的 入 侵 检 测 方式 也 像 专 家 系统 一 样 ， 也 需要 知道 攻击 行为 的 具体 知识 
但 是 攻击 方法 的 语义 描述 不 是 被 转换 为 抽象 的 检测 规则 ， 而 是 将 已 知 的 入 侵 特 征 编 码 成 与 
审计 记录 相符 合 的 模式 ， 因 而 能 够 在 审计 记录 中 直接 寻找 相 匹 配 的 已 知 入 侵 横 式 。 这 样 就 
不 像 专家 系统 一 样 需 要 处 理 大量 数 据 ， 从 而 大 大 提高 了 检测 效率 。 
Kure FEN T Ее Signature) 的 层次 性 概念 ， 首 先 根据 底层 的 审计 事件 ， 从 
中 提取 出 高 高 层 的 事件 构成 入 侵 信号 , 并 依据 高 层 事件 之 间 的 结构 关系 ， 
再 划分 入 侵 信 号 的 抽象 层次 并 对 其 进行 分 类 。 也 就 是 说 入 侵 信 号 由 底层 的 审计 事件 精确 定义 。 
1) 入 侵 信号 的 层次 
Kumar 把 入 侵 信号 分 成 4 个 层次 ， 每 一 层 对 应 相应 的 匹配 模式 ， 分 层 如 下 。 
(1) 存在 (Existence) 模 式 : 表示 只 要 存在 这 样 一 种 审计 事件 就 足以 说 明 发 生 了 入 侵 行 为 
或 入 侵 企图 的 匹配 模式 。 


结构 的 规则 , 即 把 构成 入 侵 所 
换 为 then 部 分 。 当 其 中 某 个 5 
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(2) 序列 (Sequence) 模 式 : 有 些 入 侵 是 由 一 些 按照 一 定 顺序 发 生 的 行为 组 成 的 ， 它 具体 
可 以 表现 为 一 组 事件 的 序列 ， 其 对 应 的 匹配 模式 就 是 序列 模式 。 

(3) 规则 表示 (Regular Expressions) 模 式 : 是 指 用 一 种 扩展 的 规则 表达 式 方 式 构造 匹配 模 
式 ， 规 则 表达 式 是 由 用 AND 等 逻辑 符 连 接 一 些 描述 事件 的 原 语 构成 的 。 适 用 这 种 模式 的 
攻击 信号 通常 由 一 组 相关 的 活动 所 组 成 ， 而 这 些 活动 间 没有 什么 事件 顺序 的 关系 。 

(4) 其 他 (Others): 是 指 一 些 不 能 用 前 面 的 方法 进行 表示 的 攻击 ， 统 称 为 其 他 模式 ， 如 
内 部 否定 模式 ( 它 的 规则 表示 可 以 是 abc) 和 归纳 选择 模式 等 。 
可 以 看 出 ， 这 些 匹 配 模式 之 间 的 逻辑 关系 是 一 个 包含 与 被 包含 的 关系 。 
2) 入 侵 检 测 的 特点 
可 以 把 入 侵 检 测 看 成 攻击 信号 的 一 种 模式 匹配 检测 ， 其 特点 如 下 。 

(1) 事件 来 源 独立 : 模式 的 描述 并 不 包含 对 事件 来 源 的 ， 模 式 只 需要 了 解 事件 可 
以 提供 什么 数据 ， 而 不 管事 件 如 何 提供 这 些 数据 。 

(2) 描述 和 匹配 相 分 离 : 描述 入 侵 信 号 的 模式 主要 名 
匹配 ， 描 述 什么 需要 匹配 和 如 何 匹配 是 相 分 离 的 。 

(3) 动态 的 模式 生成 : HOB Dh HERE ЕШ 生成 。 

(4) 多 事件 流 : 允许 多 事件 流 同 时 ; >) 配 ， 而 不 需要 把 这 些 事件 流 先行 集中 成 
-个 事件 流 。 

(5) 可 移植 性 :入侵 模式 可 

З) 模式 匹配 系统 解决 的 章 


模式 匹配 系统 在 具体 的 ER 
(Т) 提取 模式 : 要 模式 具有 很 能 够 充分 表示 入 侵 信号 的 特征 ， 同 
a 2 


(2) ло? 2225 ИТЕН 人 的 攻击 手段， 匹配 模式 必须 具有 动 
кл” 

(3) 增加 区 配 和 优先 级 匹配 : 在 事件 流 对 系统 处 理 能 力 产生 很 大 压力 的 时 候 ， 要 求 系 
统 采取 增 量 匹配 的 方法 提高 系统 效率 ， 或 者 可 以 对 高 优先 级 的 事件 先行 处 理 ， 然 后 再 对 低 
优先 级 的 事件 进行 处 理 。 

(4) 完全 匹配 : 匹配 机 制 必须 能 够 提供 对 所 有 模式 进行 匹配 的 能 力 。 

3， 按 键 监视 

按键 监视 是 一 种 很 简单 的 入 侵 检测 方法 ， 用 来 监视 攻击 模式 的 按键 ， 这 种 系统 很 容易 
被 突破 。UNIX 下 许多 shell， 如 bash、ksh、csh 等 都 允许 用 户 自 己 定义 命令 别名 ， 这 样 就 
可 能 容易 地 逃脱 按键 监视 。 只 有 对 命令 利用 别名 扩展 以 及 语法 分 析 等 技术 进行 分 析 ， 才 可 
能 克服 其 缺点 。 这 种 方法 只 监视 用 户 的 按键 而 不 分 析 程 序 的 运行 ， 这 样 在 系统 中 恶意 的 程 
序 将 不 会 被 标志 为 入 侵 行为 。 监 视 按 键 必须 在 按键 发 送 到 接收 者 之 前 截获 ， 可 以 采用 键盘 
Hook 技术 、Sniffen 网 络 监听 等 手段 。 对 按键 监视 方法 的 改进 是 : 监视 按键 的 同时 ， 监 视 应 
程序 的 系统 调用 。 这 样 才 可 能 分 析 应 用 程序 的 执行 ， 从 中 检测 出 入 侵 行为 。 

4. Petric 网 状态 转换 


Petric 网 用 于 入 侵 行为 分 析 是 一 种 类 似 于 状态 转换 图 分 析 的 方法 。Petric 网 的 有 利之 处 
在 于 它 能 一 般 化 、 图 形 化 地 表达 状态 ， 简 洁 明了 。 虽 然 很 复杂 的 入 侵 特 征 能 用 Petric 网 表 































































么 需要 匹配 ， 而 不 是 如 何 去 
















植 ， 而 不 需要 重新 生成 。 
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达 得 很 简单 , 但 是 对 原始 数据 匹配 时 的 计算 量 却 会 很 大 。 下 面 是 这 种 方法 的 一 个 简单 示例 ， 
表示 在 1 分 钟 内 如 果 登 录 失 败 的 次 数 超过 4 次 ,系统 便 发 出 报警 ， 其 中 竖 线 代表 状态 转换 ， 
如 果 在 状态 S1 发 生 登录 失败 ， 则 产生 一 个 标志 变量 ， 并 存储 事件 发 生 的 时 间 T1 同时 转 入 
状态 S2。 如 果 在 状态 S4 时 又 有 登录 失败 ， 而 且 这 时 的 时 间 Т2-Т1<<60 秒 ， 则 系统 转 入 状 
% 55, ... 系统 发 出 报警 并 采取 相应 措施 ， 如 图 8.3 所 示 。 
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图 8.3 Petric 网 分 析 1 分钟 4 
前 面 介绍 了 基于 异常 和 基于 误 用 两 种 不 同 的 习 
的 差异 。 
(1) Pe? 
的 入 侵 行 为 。 
(2) 异常 检测 系统 指 根据 使 为 或 资源 使 用 状况 来 判断 是 否 入 侵 ， 而 不 依赖 于 
具体 行 эдецяжи yz WREKE A ііі - 些 具体 行为 的 判断 和 推理 ， 
从 而 检测 出 入 侵 。 Жы 
(3) 异常 检测 的 
的 环境 中 ; 而 误 月 
(4) 异常 检测 ; 
强 ， 移 植 性 不 好 


法 ， 下 面 简单 地 评述 一 下 两 者 之 间 






检测 系统 试图 发 现 一 些 未 知 为 ;而 误 用 检测 系统 则 是 标志 一 些 已 知 















在 用 户 数目 众多 或 工作 行为 经 常 改变 
yl MDA], ИЕМІЗ 1. 
体系 统 的 依赖 性 相 风 较 小 ， 而 误 用 检测 系统 对 具体 的 系统 依赖 性 太 
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要 防止 网 络 被 黑客 攻击 ， 除 了 需要 一 定 的 经 验 以 外 ， 还 需要 一 定 的 技巧 。 因 为 这 些 技 
巧 往 往 会 起 到 事半功倍 的 效果 。 
1， 入 侵 响应 


入 侵 响应 (Intrusion Response) 就 是 当 检测 到 入 侵 或 攻击 时 , 采取 适当 的 措施 阻止 入 侵 和 
攻击 的 进行 。 入 侵 响 应 系统 也 有 几 种 分 类 方式 ， 按 响应 类 型 可 分 为 报警 型 响应 系统 、 人 工 
响应 系统 、 自 动 响应 系统 ， 按 响应 方式 可 分 为 基于 主机 的 响应 、 基 于 网 络 的 响应 ， 按 响应 
范围 可 分 为 本 地 响应 系统 及 协同 入 侵 响 应 系统 。 当 检测 到 入 侵 攻 击 时 ， 采 用 的 技术 很 多 ， 
又 大 致 可 分 为 被 动 入 侵 响 应 技术 和 主动 入 侵 响 应 技术 。 被 动 入 侵 响 应 包括 记录 安全 事件 、 
产生 报警 信息 、 记 录 附 加 日 志 、 激 活 附加 入 侵 检测 工具 等 。 主 动 入 侵 响应 包括 隔离 入 侵 者 
卫 、 禁 用 被 攻击 对 象 的 特定 端口 和 服务 、 隔 离 被 攻击 对 象 、 告 警 被 攻击 者 、 跟 踪 攻 击 者 、 
断 开 危险 连接 、 攻 击 攻 击 者 等 。 
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2. 入 侵 跟 踪 技 术 


在 局 域 网 中 可 以 使 用 “广播 模式 ”的 信息 发 送 方式 。 此 种 方法 不 指定 收 信 端 ， 而 且 和 
巴 此 网 络 连接 的 所 有 网 络 设备 皆 看 为 收 信 对 象 。 但 这 仅仅 在 局 域 网 上 才能 够 实现 ， 因 为 其 
网 络 上 的 主机 不 多 。 对 于 Intemet 来 说 ， 都 有 发 信 端 和 收 信 端 , 用 以 标志 信息 的 发 送 者 和 接 
收 者 ， 因 此 ， 除 非 对 方 使 用 一 些 特殊 的 封装 方式 或 是 使 用 防火 墙 进行 对 外 连接 ， 这 样 只 要 
有 人 和 自己 的 主机 进行 通信 ， 就 应 该 知道 对 方 的 地 址 ， 如 果 对 方 用 了 防火 墙 通信 ， 则 最 少 
也 应 该 知道 防火 墙 的 地 址 ， 所 以 可 以 采用 相应 的 技术 跟踪 入 侵 者 。 
如 果 要 跟踪 入 侵 者 ， 就 有 必要 对 互联 网 的 各 种 协议 做 一 个 彻底 的 了 解 。 互 联网 和 许多 
私有 网 络 都 使 用 TCP/IP 协议 ，TCP/IP 不 针对 某 个 操作 系统 、 编 程 语言 或 网 络 硬 件 ， 它 是 
-种 通用 的 标准 ， 使 计算 机 之 间 可 以 通信 。 aleko 5 吉 构 ， 也 就 是 说 以 太 
网 、 令 牌 环 网 和 无 线 网 都 可 以 使 用 它 。 这 种 通用 性 也 就 是 a E 罪 和 调查 的 必要 条 件 。 






















































































要 跟踪 入 侵 者 ， 也 就 是 知道 入 侵 者 所 在 的 地 址 具体 信息 如 下 。 
(1) 媒体 访问 控制 地 址 MAC): 由 生产 / лет 
(2) IP ЫЛЕ: 互联 网 地 址 ， 如 185.127.18 
(3) 域名 : IP 地 址 的 名 字 化 形式 ， 
(4) 应 用 程序 地 址 : 代表 特定 应 

URL 就 是 被 普遍 使 用 м 
3. ЖЕЖ 


ытаа 上 运行 的 уў 它 是 专门 为 吸引 并 “诱骗 ”那些 



































x, 如 电子 邮件 、 网 页 浏览 、ICQ 等 ， 例 如 ， 
序 的 地 址 信息 的 网 络 地 址 形式 。 


试图 非法 疤 入 他 系统 的 人 (如 让 或 破解 高 手 等 ) 而 设计 的 。 蜜 饶 系 统 是 一 
个 包含 漏洞 通过 模拟 унео 给 攻击 者 提供 一 个 容易 攻 
击 的 目标 。 2... 2 
ЖЕНГЕМ. ОНЫМ 23-І АМЕ ИДЕ Най ан» ЗЕСТ ТЕЗЕ ЕУ 
时 间 。 这 样 ， 最 初 的 攻击 目标 得 到 了 保护 ， 真 正 有 价值 的 内 容 没 有 受到 侵犯 。 此 外 也 可 以 
为 跟踪 攻击 者 提供 有 用 的 线索 。 从 这 个 意义 来 说 ， 密 馈 就 是 “诱捕 ”攻击 者 的 一 个 陷阱 。 
蜜 饶 系 统 最 重要 的 功能 是 对 系统 中 所 有 操作 和 行为 进行 监视 和 记录 ， 网 络 安全 专家 通过 精 
心 的 伪装 ， 使 得 攻击 者 在 进入 到 目标 系统 后 仍 不 知道 自己 所 有 的 行为 已 经 处 于 系统 的 监视 
之 中 。 为 了 吸引 攻击 者 ， 网 络 安全 专家 通常 还 在 蜜 缸 系统 上 故意 留 下 一 些 安全 后 门 以 吸引 
攻击 者 上 钩 ， 或 者 放置 一 些 网 络 攻击 者 希望 得 到 的 敏感 信息 ， 当 然 这 些 信息 都 是 虚假 的 信 
息 。 这 样 ， 攻 击 者 在 目标 系统 中 的 所 有 行为 ， 包 括 输 入 的 字符 、 执 行 的 操作 等 都 已 经 被 密 
ШАФТ ж. 

有 些 蜜 钢 系 统 甚至 可 以 对 攻击 者 网 上 聊天 的 内 容 进行 记录 。 蜜 钢 系 统管 理 人 员 通 过 分 
析 和 研究 这 些 记 录 ， 可 以 得 到 攻击 者 使 用 的 攻击 工具 、 工 具 手 段 、 攻 击 目的 和 攻击 水 平等 
信息 ， 当 然 也 可 以 得 到 它 的 下 一 个 攻击 目标 。 

蜜 色 是 一 种 被 监听 、 被 攻击 或 已 经 被 入 侵 的 资源 ， 也 就 是 说 ， 无 论 如 何 对 蜜 镀 进 行 配 
秆 ， 所 要 做 的 就 是 使 得 这 个 系统 处 于 被 监听 、 被 攻击 的 状态 。 蜜 饶 并 非 一 种 安全 解决 方案 ， 
这 是 因为 蜜 钢 并 不 会 “修理 ”任何 错误 。 蜜 饶 只 是 一 种 工具 ,如何 使 用 这 个 工具 取决 于 使 





































































































Fs Se 


者 想 要 蜜 钢 做 到 什么 。 蜜 钢 可 以 仅仅 是 一 个 对 其 他 系统 和 应 用 的 仿真 ， 可 以 创建 一 个 监 
禁 环境 将 攻击 者 困 在 其 中 , 还 可 以 是 一 个 标准 产品 系统 。 无 论 使 用 者 如 何 建立 和 使 用 蜜 饶 ， 
只 有 蜜 馈 受 到 攻击 ， 它 的 作用 才能 发 挥 出 来 。 为 了 方便 攻击 者 攻击 ， 最 好 是 将 蜜 钢 设 置 成 
电子 邮件 转发 等 流行 应 用 中 的 某 一 种 。 
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选择 入 侵 检测 系统 时 ， 主 要 应 考虑 以 下 几 个 方面 。 
(1) 特征 库 升 级 与 维护 的 费用 。 像 反 病毒 软件 一 样 ， 入 侵 检测 系统 的 特征 库 需 要 不 断 


更 新 才能 检测 出 新 出 现 的 攻击 方法 。 
(2) 对 于 网 络 入 侵 检 测 系统 ， 最 大 可 处 理 流量 ( 包 / 秘 人 首先， 要 分 析 网 络 入 侵 检 
测 系统 所 部 署 的 网 络 环境 ， 如 果 在 512KB 或 2MB Z 嗜 网 络 入 侵 检测 系统 ， 则 不 需 

















要 高 速 的 入 侵 检测 引擎 ， 而 在 负荷 较 高 的 环境 中 -个 非常 重要 的 指标 。 
(3) 该 产品 是 否 容易 被 躲避 。 常用 的 租 开 的 方法 有 分 片 、TTL 欺骗 、 异常 TCP 


分 段 、 慢 扫描 、 协 同 攻击 等 。 á 
(4) 产品 的 可 伸缩 性 。 系 统 支持 
间 通 信和 带宽 和 对 审计 日 志 溢出 的 
(5) 运行 与 维护 系统 的 形 
的 方便 程度 以 及 使 用 该 系 
(6) 产品 支持 的 入 保 和 第 
不 能 偏 听 一 面 之 词 3 和 x 
(7) И k BAAK EESE NEBR. Plum i JOM ñu Је 
-个 听 上 去 很 \% 询 ”的 功能 ， 但 是 ， 自 动 更 改 防火 堵 配 置 也 是 一 个 极为 危险 的 举动 。 
















SK SERIN ERRE, JHE AEA 
1 нт А 
。 不 同 厂商 对 检测 等 征 库 大 小 的 计算 方法 都 不 一 样 ， 所 以 


EEI 应 用 案例 
入 侵 检测 系统 产品 案 侦 
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8.4 启动 SessionWall-3 
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图 8.5 查看 报警 消息 
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图 8.6 查看 违反 安全 的 网 络 数据 
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8.7 SYN Flood 攻击 
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图 8.8 WinNuke 拒绝 服务 攻击 
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87 本 章 小 结 


本 章 讲述 了 入 侵 检 测 系统 的 功能 、 组 成 、 分 类 和 基本 的 工作 原理 ， 比 较 了 基于 网 络 的 
入 侵 检 测 系统 和 基于 主机 的 入 侵 检测 系统 的 优 缺 点 和 适用 场合 。 本 章 还 介绍 了 入 侵 检测 系 
统 的 发 展 方向 和 几 种 入 侵 检测 产品 。 























88 本 章 实 j 


实 训 :入侵 检测 软件 Snort 的 安装 与 使 用 
实 训 目的 
安装 并 测试 入 侵 检测 软件 Snort 的 基本 功能 。 
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实 训 环境 
台 安 装 Windows XP( 其 他 操作 系统 也 可 以 ) 的 计算 机 。 其 中 一 台 计 算 机 (计算 机 A) 安 
装 Snort， 另 一 台 计 算 机 (计算 机 B) 用 来 对 前 一 台 计 算 机 实施 违反 规则 的 访问 。 
实 训 内 容 
安装 和 配置 Snort 软件 
(1) 安装 WinPcap 软件 ， 如 图 8.10 所 示 。 如 果 读 者 在 学 习 第 2 章 时 安装 了 Wireshark, 
则 省 略 这 一 步 。 


This productis brought to you by 


INOLOGIES 


Packet Capturing dod Nefwork Analysis Solutions 

















88.10 Ж inPcap 


Ф е Snort 软件 ， ELLS 所 示 。 


Snort e 








Snort has successfully been installed. 


Snort also requires WinPcap 2.3 to be installed on this machine. 
WinPcap can be downloaded from: 
http://winpcap.polito.it/ 


Next, you must manually edit the ‘snort con? file to 
specify proper paths to allow Snort to find the rules fles 
and classification files. 





图 8.11 安装 Snort 


(3) 为 避免 出 现 因 环 境 变量 配置 出 现 错误 ， 这 里 采用 绝对 路 径 来 指定 所 涉及 的 配置 文 
件 。 将 snort 文件 夹 下 ete 子 文件 夹 下 的 *.conf 复制 到 snort 文件 夹 下 的 bin 子 文件 夹 。snort 
文件 夹 下 rules 子 文件 夹 下 的 ftpl.rules 编辑 修改 后 复制 到 bin 子 文件 夹 下 ， 如 图 8.12 所 示 。 
为 测试 而 将 екс 下 的 snort.conf 另存 为 snortl.conf， 并 对 它 进行 修改 ， 如 图 813 所 示 。 
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Зер. -记事 本 <j) 
ZAO AAO 18200) FEV ENH ] 


# (C) Copyright 200; 
# All rights гез 











2002, Martin Roesch, Brian Caswell, et al. 





# protocol verification 
alert tcp any any -> any 21 








图 8.12 ftp1.rules 


Bena ES) Е 四 可 一 二 | 
文件 四 жар MRO FEV иан 
А disabled Бу default, 
# Please read the 


ЕЕ {КЛЕ РІ 
[#include $RULE РІ 
[include SRULE_PATH/s 
include KU PAT: 




















These require tuning and maintance. y 


e for more information. m? N 
< 

< 

Е пәк .conf 


2. Snort 基本 功能 测试 NS 


(1) 在 windows 0052418 NA Qs 窗口 下 ) 进 入 ARHAR MINE: 

snort -i4 -dev 1 d:ogyftpala lttlog c d:\installfi жәнее: onf， 如 图 8.14 所 示 。 命 

= 侵 检 测 生成 报警 文人 PRK 文件 夹 ，d:\installfiles\snort 是 作者 安 
nort 命令 的 4 Snort 正文 手册 ， 读 者 可 以 从 网 上 下 载 。 

[= 15 [асај 





include ТЕЛЕ PATH 
#include $RULE_P 

































令 中 dxlogvftpalertlog 是 
装 snort 的 文件 夹 ， 2584 





incompleti 
arded<timeou 
nenory Fauli 


<58.өввх> 


кезіл>зпоғе -i4 -dev d:\log\ftpalertlog -c d:SinstallrileR 
conf 














图 8.14 Snort 测试 
(2) 到 另 一 台 计 算 机 上 向 安装 Snort 的 计算 机 执行 FTP 访问 ， 由 于 已 经 在 以 上 配置 文件 
ftpl.mules 里 指定 所 有 FTP 均 为 异常 访问 ， 所 以 向 目标 发 起 FTP 访问 的 过 程 就 将 被 自动 记录 在 报 
- 件 中 ， 如 图 815 和 图 8.16 所 示 。 可 见 入 侵 多 件 不 同 与 杀毒 软件 测 软 件 可 以 由 
管理 员 指 定 何 种 行为 是 异常 或 是 入 侵 行为 ， 而 杀毒 软件 HE ў i 
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12 ЕСІЛ 
260 S80 SEV IAD нын 
B7 SAAGE ë REY янә SDAR =- п ө 
сак а = өзне = * 
ате D 192168110 2013-5-241007 хи 
шап B alert 2013-5-24 1027 105% 
E жељавев 

а = Ј ` 








8.15 Snort 记录 了 异常 行为 (1) 














ну; 01 
|05/24-10:27:04. 9 
5 Я ë Е: 
ннен Seq; 0546037 Ack; OxO Win: OFFF Teplen: 28 
(ТСР Options (4) => MSS: 1460 NOP NOP SackOK 


[**] Snort Нені м 
it; 


[Priority: 
05/24-10 27:04. 986197 0:D0:59:4B:65:EF -> FO:DE:F1:67:D6:1 type:0x 3 
192. 168.1.10:1181 -> 192.168.1.210:21 ТСР ТП.:128 T0S:0x0 ID:842 : 


| Ap Seq: 0х54600388 Ack: 0x479A17D5 Win: OxFFFF TepLen: 


图 8.16 кәй 了 异常 行为 (2) 


1， 填 空 题 x 
0) коман Км 4 个 基本 组 件 : 


和 
(2) 按 数 据 来 源 和 系统 结构 分 类 ， 入 侵 检 测 系统 分 为 3 类 : 















































和 
(3) WENE: 通过 某 种 方式 预先 定义 入 侵 行为 ， 然 后 监视 系统 的 运行 ， 并 找 
出 符合 预先 定义 规则 的 入 侵 行为 。 
2. 选择 题 


(1) 入 侵 检测 系统 (Intrusion Detection System，IDS) 是 对 ( ) 的 合理 补充 , 帮助 系统 对 
付 网 络 攻击 。 
A. 交换 机 в. 路 由 器 с. 服务 器 D. 防火 墙 
(2) ( “ ) 是 一 种 在 互联 网 上 运行 的 计算 机 系统 ， 它 是 专门 为 吸引 并 “诱骗 ”那些 试图 
非法 冯 入 他 人 计算 机 系统 的 人 (如 计算 机 黑客 或 破解 高 手 等 ) 而 设计 的 。 





A. 网 络 管理 计算 机 В.  ШҚНопеуро4) 
с. ШЕЛІ D. 入 侵 检测 系统 











OC  ) 访 法 主要 来 源 于 这 样 的 思想 : 任何 人 的 正常 行为 都 是 有 一 定 的 规律 的 ， 
且 可 以 通过 分 析 这 些 行为 产生 的 日 志 信息 (假定 日 志 信息 足够 安全 ) 总 结 出 这 些 规律 , 而 入 























БЕ 


侵 和 滥用 行为 则 通常 和 正常 的 行为 存在 严重 的 差异 ， 通 过 检查 这 些 差异 就 可 以 检测 出 这 
些 入 侵 。 

A. 基于 异常 的 入 侵 检 测 

B. 基于 误 用 的 入 侵 检测 

C. 基于 自治 代理 技术 

D. 自 适应 模型 生成 特性 的 入 侵 检 测 系统 





























3， 简 答题 

(D 入 侵 检测 的 基本 功能 是 什么 ? 

(2) 简 述 公共 入 侵 检 测 框架 (CIDF) 模 型 。 

(3) 基于 主机 的 入 侵 检测 和 基于 网 络 的 入 侵 检测 各 有 Aan? 
(а) 什么 是 基于 异常 的 入 侵 检测 ? 什么 是 基于 误 用 КҮШІ? 





(5) KEREN БАНЕРА ТЕ 2 x 
(6) 简 述 入 侵 检 测 的 发 展 方向 。 





Y 教学 目标 ж 


通过 对 本 章 的 学 习 ， 读 者 应 了 解 网 一 般 手 法 及 防范 策略 ， 重 点 掌握 端口 
扫描 的 原理 和 防范 对 策 、 网 络 噢 探 的 范 对 策 、 密 码 的 安全 设置 原则 、 木 马 攻 
击 的 一 般 特征 和 清除 方法 、 拒 绝 用 Web 攻击 的 原理 、 危 害 及 防范 对 策 。 





冲 区 溢出 攻击 的 原理 和 防范 对 策 NEREAREN, 了 解 防范 对 策 ШІП 
拒绝 服务 攻击 的 原理 和 防范 对 策 理解 拒绝 服务 攻击 的 原理 ， 了 解 防范 对 策 TCP/IP 协议 
Web 攻击 原理 和 防范 对 策 了 解 跨 站 攻击 、SQL 注入 和 会 话 支持 的 概念 SQL 语言 
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9.1 网 络 攻 







攻防 即 攻击 与 防范 。 攻 击 是 指 任何 的 非 
提供 正常 的 服务 到 完全 破坏 和 控制 服务 


为 ， 攻 击 的 范围 从 简单 的 使 服务 器 无 法 
网 络 上 成 功 实施 的 攻击 级 别 依赖 于 用 户 采 用 






的 安全 措施 。 
根据 攻击 的 法 律 定义 ， 攻 击 仪 往 在 入 侵 行 为 完 爹 完成 而 且 入 侵 者 已 经 在 目标 网 络 
。 但 专家 的 观点 是 : чав. 路 受到 破坏 的 都 被 认定 为 攻击 。 


网 络 攻击 可 以 分 为 
(1) 被 动 攻击 @ 25.2 在 ауд 45% 帮 击 者 简单 地 监听 所 有 信 5. 
些 秘密 。 这 种 攻击 SIEF RGR EAA yh A 系统 (秘密 抓 取 数 据 的 特洛伊 木马 
J， 被 动 攻 被 检测 到 的 。 м 

(2) 主动 攻击 (Active Attacks): 攻击 者 试图 突破 用 户 的 安全 防线 。 这 种 攻击 涉及 数据 流 
内 修改 或 创建 错误 流 ， 主 要 攻击 形式 有 假冒 、 重 放 、 欺 骗 、 消 息 算 改 、 拒 绝 服务 等 。 例如， 
系统 访问 尝试 是 指 攻 击 者 利用 系统 的 安全 漏洞 获得 用 户 或 服务 器 系统 的 访问 权 。 


9.1.1 网络 攻击 的 一 般 目标 


从 黑客 的 攻击 目标 上 分 类 ， 攻 击 类 型 主要 有 两 类 : 系统 型 攻击 和 数据 型 攻击 ， 其 所 对 
应 的 安全 性 也 涉及 系统 安全 和 数据 安全 两 个 方面 。 从 比例 上 分 析 ， 前 者 占据 了 攻击 总 数 的 
30%, 造成 损失 的 比例 也 占 到 了 30%; 后 者 占 到 攻击 总 数 的 70%, 造成 的 损失 也 占 到 了 70%. 
系统 型 攻击 的 特点 是 : 攻击 发 生 在 网 络 层 ， 破 坏 系统 的 可 用 性 ， 使 系统 不 能 正常 工作 , п 
能 留 下 明显 的 攻击 痕迹 。 数 据 型 攻击 主要 来 源 于 内 部 ， 该 类 攻击 的 特点 是 : 发 生 在 网 络 的 
应 用 层 ， 面 向 信息 ， 主 要 目的 是 算 改 和 偷 取 信息 (这 一 点 很 好 理解 ， 数 据 放 在 什么 地 方 ， 有 
什么 样 的 价值 ， 被 算 改 和 窃 用 之 后 能 够 起 到 什么 作用 ， 通 常情 况 下 只 有 内 部 人 知道 )， 不 会 
留 下 明显 的 痕迹 (原因 是 攻击 者 需要 多 次 地 修改 和 窃取 数据 )。 

从 攻击 和 安全 的 类 型 分 析 ， 得 出 一 个 重要 结论 : 一 个 完整 的 网 络 安全 解决 方案 不 仅 能 防 
止 系统 型 攻击 , 也 能 防止 数据 型 攻击 ， 既 能 解决 系统 安全 ， 又 能 解决 数据 安全 两 方面 的 问题 。 
这 两 者 当中 ， 应 着 重 强调 数据 安全 ， 重 点 解决 来 自 内 部 的 非 授权 访问 和 数据 的 保密 问题 。 
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жов 网 络 攻击 与 防范 


912 网络 攻 击 的 步骤 及 过 程 分 析 
1. 隐藏 自己 的 位 置 
攻击 者 可 以 利用 别人 的 计算 机 当 “ 肉鸡 ”， 隐 藏 他 们 真实 的 他 地 址 。 
2. 寻找 目标 主机 并 分 析 目 标 主机 


攻击 者 首先 要 寻找 目标 主机 并 分 析 目 标 主 机 。 在 Internet 上 能 真正 标识 主机 的 是 IP 地 
址 ， 域 名 是 为 了 便于 记忆 主机 的 ІР 地 址 而 另 起 的 名 字 ， 只 要 利用 域名 和 ІР 地 址 就 可 以 顺 
利 地 找到 目标 主机 。 当 然 ， 知 道 了 要 攻击 目标 的 位 置 还 远 远 不 够 ， 还 必须 对 主机 的 操作 系 
统 类 型 及 其 所 提供 服务 等 资料 做 全 面 的 了 解 。 攻 击 者 可 以 使 姐 闵 些 扫描 器 工具 ， 轻 松 获 取 
目标 主机 运行 的 是 哪 种 操作 系统 的 哪个 版 本 ， Са WW. FTP, Telnet, SMTP 
































等 服务 器 程序 是 何 种 版 本 等 资料 ， 为 入 侵 做 好 充分 


з. 获取 账号 和 密码 

питал tn, namga Desnan, ee 

行 。 他 们 先 设法 盗窃 账户 文件 ， 进 行 某 用 户 的 账户 和 密码 ， 再 寻找 合适 时 机 以 

此 身份 进入 主机 。 А 
4、 获 得 控制 权 ES ХА» 
攻击 者 用 FTP, N ИШАН ЕЛЖАН ЫЫ. 5% 

做 两 件 事 ， 清 除 记 3 eg 系统 设 置 、 在 系统 中 植 入 特洛伊 木马 或 其 

i 再 次 进入 系统 。 













攻击 者 找到 攻击 目标 后 ， 会 继续 下 一 步 的 攻击 ， 如 下 载 敏感 信息 等 。 
9.1.3 网络 攻 击 的 防范 对 策 


在 对 网 络 攻击 进行 上 述 分 析 的 基础 上 , 应 当 认真 制定 有 针对 性 的 策略 ， 明 确 安全 对 象 ， 
设置 强 有 力 的 安全 保障 体系 ， 有 的 放 矢 ， 在 网 络 中 层 层 设防 ， 使 每 一 层 都 成 为 一 道 关 卡 ， 
从 而 让 攻击 者 无 际 可 钻 。 同 时 用 户 还 必须 做 到 未 雨 绸 缪 ， 预 防 为 主 ， 备 份 重要 的 数据 ， 并 
时 刻 注意 系统 运行 状况 。 以 下 是 针对 众多 令 人 担心 的 网 络 安全 问题 所 提出 的 儿 点 建议 。 

1. 提高 安全 意识 

(1) 不 要 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ， 不 要 随便 运行 不 太 了 解 的 人 发 送 的 程 
序 ， 比 如 “特洛伊 ”类 黑客 程序 就 是 骗 接收 者 运行 。 

(2) 尽量 避免 从 Internet 下 载 不 知名 的 软件 、 游 戏 程序 。 即 使 从 知名 的 网 站 下 载 的 软件 
也 要 及 时 用 最 新 的 病毒 和 木马 查 杀 软件 对 软件 和 系统 进行 扫描 。 

(3) 密码 设置 尽 可 能 使 用 字母 数字 混 排 ， 单 纯 的 英文 或 者 数字 很 容易 穷 举 。 将 常用 的 
密码 设置 不 同 ， 防 止 被 人 查 出 一 个 ， 连 带 到 重要 密码 。 重 要 密码 最 好 经 常 更 换 。 
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(4) 及 时 下 载 安装 系统 补丁 程序 。 

(5) 不 随便 运行 黑客 程序 ， 许 多 这 类 程序 运行 时 会 发 出 用 户 的 个 人 信息 。 

(6) 在 支持 HTML 的 BBS 上 ， 如 发 现 提交 警告 ， 要 先 看 源 代码 ， 因 为 它 很 可 能 是 骗取 
密码 的 陷阱 。 
2. 使 用 防 病毒 和 防火 墙 软件 
防火 墙 是 一 个 用 以 阻止 网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ， 也 可 称 为 控制 进 /出 两 
个 方向 通信 的 门槛 。 在 网 络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 
部 网 络 ， 以 阻挡 外 部 网 络 的 侵入 。 
3. 隐藏 自己 的 全 地 址 
保护 自己 的 ІР 地 址 是 很 重要 的 。 事 实 上 ， 即 便 用 户 асаа, 若 没 有 
该 用 户 的 IP 地 址 , 攻击 者 也 是 没有 办 法 的 , 而 保护 IP 好 方法 就 是 设置 代理 服务 器 。 
代理 服务 器 能 起 到 外 部 网 络 申请 访问 内 部 网 络 的 作用 ， 其 功能 类 似 于 一 个 数据 转发 
器 , 它 主要 控制 哪些 用 户 能 访问 哪些 服务 类 型 : 网 络 向 内 部 网 络 申请 某 种 网 络 服务 时 ， 


代理 服务 器 接受 申请 ， 然 其 服务 内 容 、 被 服务 的 对 象 、 服 务 者 申请 的 时 间 、 
决定 是 否 接受 。 如 果 接 受 ， 就 向 内 部 网 络 转 发 这 项 请 求 。 另 
















































































常 例 行 对 更 新 防毒 组 你 * 将 防毒 软件 保持 在 常 驻 内 存 状态 ， 
以 彻底 防毒 。 由 于 黑客 经 常 宇 的 日 期 发 动 算 机 用 户 在 此 期 间 应 特别 提高 警 
ж. w PEER, 2698 资料 的 习惯 。 


A Бау 扫描 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 通 过 扫描 TCP 端口 ， 并 记 
录 反 馈 信息 ， 可 以 不 留 痕迹 地 发 现 远程 服务 器 中 各 种 TCP 端口 的 分 配 、 提 供 的 服务 和 它们 
的 软件 版 本 。 这 就 能 直观 地 或 间接 地 了 解 到 远程 主机 存在 的 安全 问题 。 

对 于 非法 入 侵 者 而 言 ， 端 口 扫描 是 一 种 获得 主机 信息 的 好 方法 。 在 UNIX 操作 系统 中 ， 
使 用 端口 扫描 程序 不 需要 超级 用 户 权 限 ， 任 何 用 户 都 可 以 使 用 ， 而 且 简单 的 端口 扫描 程序 
非常 易于 编写 。 掌 握 了 初步 的 Socket 编程 知识 就 可 以 轻而易举 地 编写 出 能 在 UNIX 和 
Windows NT/2000 下 运行 的 端口 扫描 程序 。 

端口 扫描 程序 使 系统 管理 员 能 够 及 时 发 现 网 络 的 弱点 ， 有 助 于 进一步 加 强 系统 的 安全 
性 。 例 如 ， 当 系统 管理 员 扫描 到 finger 服务 所 在 的 端口 号 (79) 时 ， 就 应 想到 这 项 服务 是 否 应 
该 关闭 。 如 果 原 来 是 关闭 的 ， 现 在 又 被 扫描 到 ， 则 说 明 有 人 非法 取得 了 系统 管理 员 的 权限 ， 
改变 了 inetd.conf 文件 中 的 内 容 。 因 为 这 个 文件 只 有 系统 管理 员 才 能 修改 , 它 表 明了 系统 的 
安全 正 处 于 威胁 中 。 

另外 ， 如 果 扫 描 到 一 些 标准 端口 之 外 的 端口 ， 系 统管 理 员 必须 清楚 这 些 端口 提供 了 一 
些 什 么 服务 ,是否 允 许 访 问 。 许多 系统 常常 将 WWW 服务 的 端口 放 在 8080， 系 统管 理 员 必 
须知 道 端 口 8080 被 WWW 服务 使 用 了 。 
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还 有 许多 入 侵 者 将 为 自己 开 的 后 门 设 在 一 个 非常 高 的 端口 上 ， 因 为 使 用 一 些 不 常用 的 
端口 ， 常 常会 被 扫描 程序 忽略 。 入 侵 者 通过 这 些 端口 可 以 任意 使 用 系统 的 资源 ， 也 为 他 人 
非法 访问 这 台 主 机 开 了 方便 之 门 。 许 多 不 能 直接 访问 国外 资源 的 主机 用 户 会 将 一 些 proxy 
之 类 的 程序 偷偷 地 安装 在 一 些 能 够 方便 访问 国外 资源 的 主机 上 ， 将 大 笔 的 流量 账单 转嫁 给 
他 人 ， 使 用 端口 扫描 程序 就 能 检测 到 这 种 活动 。 


9.2.1 ”端口 扫描 的 原理 









































在 TCP 数据 包 的 包头 中 有 6 位 , 分 别 为 FIN、SYN、RST、PSH、ACK 和 URG。 其 中 ， 
ACK 被 置 为 1， 表 明确 认 号 有 效 ， 如 果 此 位 清 0， 数 据 包 中 不 包含 一 个 确认 ， 确 认 域 将 被 
忽略 。 

PSH 数据 的 接收 者 被 友好 地 提示 将 收 到 的 数据 直 Ф. 而 不 是 缓存 它 ， 直 
到 缓存 区 存 满 了 才 交 给 应 用 程序 ， 它 常用 于 一 些 实 

RST 用 来 重 置 一 个 连接 ， 用 于 由 于 一 台 主 -此 其 他 原因 引起 的 通信 混乱 
也 被 用 来 拒绝 接收 一 个 无 效 的 TCP 数据 包 x 或 塌 南 来 拒绝 一 个 建立 连接 的 企图 。 . : 
个 设置 了 RST 的 ТСР 数据 包 ， 通 党 1 НИЯ ue руя 
SYN 用 来 建立 一 个 连接 。 在 连 据 包 中 ，SYN=1 与 ACK=0 指明 确认 域 没有 使 
用 。 对 连接 请 求 ， 需 要 应 答 。 


应 答 的 TCP 中 ，SYN=1，ACK=1。SYN 通 
常用 来 指明 连接 请 求 和 连 抄 ; 接受 ， 而 i aasma: 

FIN 用 来 释放 aw 已 指 出 发 送 者 已 要 发 送 。 关 闭 一 个 连接 之 后 ， 一 个 
进程 还 可 es SYN 和 mm 因此 ， 可 以 保证 数据 
按照 正确 的 有 Я Же 

URG 表示 报 文 包含 紧急 信息 。 

下 面 介绍 入 侵 者 如 何 利用 上 述 这 些 信息 ， 进 行 端口 扫描 。 


1. TCP connect( ) 扫 描 


TCP connect( ) 是 最 基本 的 一 种 扫描 方式 。 使 用 系统 提供 的 connect( ) 系 统 调用 ， 建 立 与 
目标 主机 端口 的 连接 。 如 果 端 口 正 在 监听 ，connect( ) 就 成 功 返回 ， 和 否则 ， 则 说 明 端口 不 可 
访问 。 

一 个 有 利 条 件 是 ， 使 用 TCP connect( ) 不 需要 任何 特权 ， 任 何 UNIX 用 户 都 可 以 使 用 这 
个 系统 调用 。 另 一 个 有 利之 处 是 速度 ， 除 了 串 行 地 使 用 单个 connect( ) 调 用 来 连接 目标 主机 
的 端口 ， 还 可 以 同时 使 用 多 个 socket， 来 加 快 扫描 的 速度 。 使 用 一 个 非 阻 塞 的 IO 调用 , 可 
以 同时 监视 多 个 socket。 不 利之 处 是 这 种 扫描 方式 容易 被 检测 到 ,并且 被 过 滤 掉 。 目 标 主机 
的 日 志文 件 将 记录 下 这 些 连 接 信息 和 错误 信息 ， 然 后 立即 关闭 连接 

2. TCP SYN 扫描 


TCP SYN 扫描 常 被 称 为 半 开 扫描 ， 因 为 它 并 不 是 一 个 全 TCP 连接 。 发 送 一 个 SYN 数 
据 包 ， 就 好 像 准 备 打开 一 个 真正 的 连接 ， 然 后 等 待 响 应 。 一 个 SYN/ACK 表明 该 端口 正在 
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被 监听 ， 一 个 RST 响应 表明 该 端口 没有 被 监听 。 如 果 收 到 一 个 SYN/ACK， 则 通过 立即 发 
送 一 个 RST 来 关闭 连接 。 这 样 做 的 好 处 是 极 少 有 主机 来 记录 这 种 连接 请 求 。 不 利之 处 在 于 
必须 有 超级 用 户 权 限 才能 建立 这 种 可 配置 的 SYN 数据 包 。 

3. TCP FIN 扫描 

在 很 多 情况 下 ,即使 是 SYN 扫 描 也 不 能 做 到 很 隐秘 。 一 些 防火 墙 和 包 过 滤 程 序 监视 SYN 
数据 包 访问 一 个 未 被 允许 访问 的 端口 ， 一 些 程序 可 以 检测 到 这 些 扫描 。FIN 数据 包 却 有 可 
能 通过 这 些 扫描 。 其 基本 思想 是 关闭 的 端口 将 会 用 正确 的 RST 来 应 答 发 送 的 FIN 数据 包 ; 
相反 ， 打 开 的 端口 往往 忽略 这 些 请 求 。 这 是 一 个 TCP 实现 上 的 错误 ， 也 不 是 所 有 的 系统 都 
存在 这 类 错误 ， 因 此 ， 并 不 是 百分之百 有 效 。 

4. Fragmentation 扫描 


Fragmentation 扫描 并 不 是 仅仅 发 送 探测 的 数据 要 发 送 的 数据 包 分 成 一 组 更 
TT ТЫ 中 ， 使 得 包 过 滤 程 序 难以 过 滤 。 















































因此 ， 可 以 进行 想 进行 的 扫描 活动 。 必 须 注 - 些 程序 很 难处 理 这 些 过 小 的 包 。 
5. UDP recfrom( ) 和 write( ) 扫 描 „ 2 


- 些 人 认为 UDP 的 нала root 权限 的 用 户 不 能 直接 得 到 端口 不 可 访问 
的 错误 ， 但 是 Linux 户 。 例 如 ， ЖАП 00. ) 调 用 通 
ml 


常会 失败 。 如 果 在 一 个 非 阻塞 P socket E} () 通 常会 返回 EAGAIN( )( “Try 
again”, еггпо-13), ІІІ 1 则 收 到 一 个 ЕСО ED(“ Connection refused”, errno=111) 
错误 信息 。 Ж x 
Р ж: 
Ж 


s ааа 
ICMP 扫描 并 不 是 一 个 真正 的 端口 扫描 ， 因 为 ICMP 并 没 得 到 端口 的 信息 。 用 ping 这 
个 命令 ， 通 常 可 以 得 到 网 上 目标 主机 是 否 正 在 运行 的 信息 。 
9.2.2 ”端口 扫描 的 防范 对 策 

端口 扫描 的 防范 方法 有 两 种 。 

1. 关闭 闲置 和 有 潜在 危险 的 端口 

这 个 方法 有 些 “死板”， 它 的 本 质 是, 将 所 有 用 户 需 要 用 到 的 正常 计算 机 端口 外 的 其 他 
端口 都 关闭 掉 。 因 为 就 黑客 而 言 ， 所 有 的 端口 都 可 能 成 为 攻击 的 目标 。 换 句 话说 “计算 机 
的 所 有 对 外 通信 的 端口 都 存在 潜在 的 危险 ”， 而 一 些 系 统 必要 的 通信 端口 ， 如 访问 网 页 需要 
的 HTTP(80 端口 )、QQ(4000 端口 ) 等 不 能 被 关闭 。 在 Windows 2000/XP/2003 中 要 关闭 掉 一 
些 闲 置 端口 是 比较 方便 的 ， 也 可 以 采用 IP 安全 策略 进行 数据 包 筛 选 (本 书 第 8 章 实验 中 有 
详细 配置 方法 )。 计 算 机 的 一 些 网 络 服务 会 有 系统 分 配 默认 的 端口 ， 将 一 些 闲 置 的 服务 关闭 
掉 ， 其 对 应 的 端口 也 会 被 关闭 。 打 开 【 控 制 面板 】 窗 口中 的 【管理 工具 】 窗 口 ， 双 击 【 服 
务 】 图标 , 打开 窗口 ,， 关闭 计算 机 没有 使 用 的 一 些 服务 (如 FTP 服务 、DNS 服务 、IIS Admin 
服务 等 )， 它 们 对 应 的 端口 也 就 被 停 用 了 。 至 于 “只 开放 人 允许 端口 的 方式 ”， 可 以 利用 系统 
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的 “TCP/P 筛选 ”功能 实现 ， 设 置 的 时 候 ,“ 只 允许 ”系统 的 一 些 基 本 网 络 通信 需要 的 端 
口 即 可 。 


2. 有 端口 扫描 的 症状 时 ， 立 即 屏 蔽 该 端口 


这 种 预防 端口 扫描 的 方式 显然 靠 用 户 自己 手工 是 不 可 能 完成 的 ， 或 者 说 完成 起 来 相当 
难 ， 需 要 借助 软件 。 这 些 软件 就 是 常用 的 网 络 防火 墙 。 

防火 墙 的 工作 原理 是 : 首先 检查 每 个 到 达 计算 机 的 数据 包 ， 在 这 个 包 被 计算 机 上 运行 
的 任何 软件 看 到 之 前 ,防火墙 有 完全 的 否决 权 , 可 以 禁止 计算 机 接收 Internet 上 的 任何 东西 。 
端口 扫描 时 ,对 方 计算 机 不 断 和 本 地 计算 机 建立 连接 , 并 逐渐 打开 各 个 服务 所 对 应 的 TCP/P 
端口 及 闲置 端口 ， 防 火 墙 经 过 自 带 的 拦截 规则 判断 ， 就 能 够 知道 对 方 是 否 正 进行 端口 扫描 ， 
并 拦截 掉 对 方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 。 现 在 市 乎 所 有 网 络 防火 墙 都 能 够 
抵御 端口 扫描 ， 在 默认 安装 后 ， 应 该 检查 一 些 防火 墙 口 扫描 规则 是 否 被 选中 
否则 它 会 放行 端口 扫描 ， ЕРЕС 
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93 密码 攻防 








密码 攻击 是 指 设法 获取 有 效用 户 账户 信息 的 攻击 。 攻 击 者 攻击 目标 时 常常 把 破译 
的 密码 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确定 用 户 的 密码 ， 就 能 获得 机 器 或 者 
的 访问 权 ， 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 如 果 这 个 用 户 有 域 管理 员 或 root 用 户 
限 ， 将 是 极其 危险 的 。 


9.3.1 密码 攻击 常用 手段 
密码 攻击 一 般 有 几 种 方法 。 常 用 的 手段 包括 社会 工程 学 基山 络 噢 探 、 密 码 破 解 和 木马 


1， 社 会 工程 学 


社会 工程 学 简单 说 就 是 用 欺骗 、 诱 导 的 些 麻痹 大 意 或 好 奇 心 强 的 用 户 不 经 意 
地 泄露 自己 的 账户 密码 。 例 如 用 “和 钓鱼” I 用 户 注册 ， 粗 心 者 往往 就 会 泄露 自己 的 
户 名 和 密码 。 


ks 1 НІ АЖЕ 
2 аниа 4 


“taqam ae ， 这 类 方法 有 一 定 的 局 限 性 ， 但 
WIR- ТЕЛІ Ж, 如 在 Telnet, FTP. 

Ч чк 账户 和 是 以 明文 格式 传输 的 ， 此 时 若 攻 击 者 
利用 数据 包 截取 / 可 很 容易 地 收集 1 的 账户 pe -种 中 途 截取 攻击 方法 ， 
它 在 用 户 同 月 端 完成 “3 次 握手 ”建立 连接 之 后 ， 在 通信 过 程 中 扮演 “第 三 者 ”的 角 
色 ， 假 冒 服务 器 身份 欺骗 用 户 ， 再 假冒 用 户 向 服务 器 发 出 恶意 请 求 ， 其 造成 的 后 果 不 堪 设 
想 。 另 外 ， 攻 击 者 有 时 还 会 利用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工作 ， 等 待 记录 用 户 
登录 信息 ， 从 而 取得 用 户 密码 ; 或 者 编制 有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 
权限 。 

3. 密码 破解 


密码 破解 可 以 分 为 在 线 破解 和 离线 破解 两 种 方式 。 
在 线 破解 ， 就 是 用 程序 自动 生成 密码 组 合 ， 自 动 重复 尝试 登录 被 攻击 主机 或 系统 。 这 
种 方法 可 以 用 设置 重复 登录 次 数 限制 或 在 Internet 上 普遍 采用 的 登录 时 要 求 输入 验证 的 方 
法 加 以 防范 。 
离线 破解 需要 先 访问 到 保存 密码 信息 的 文件 或 数据 库 , 在 获取 用 户 的 账户 名 后 (如 电子 
邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户 密码 ， 这 种 方法 不 受 网 段 限制 ， 但 攻击 
者 要 有 足够 的 耐心 和 时 间 。 如 采用 字典 穷 举 法 (或 称 暴力 法 ) 来 破解 用 户 的 密码 。 攻 击 者 可 
以 通过 一 些 工具 程序 ， 自 动 从 计算 机 字典 中 取出 一 个 单词 ， 作 为 用 户 的 密码 ， 再 输入 给 远 
端的 主机 ， 申 请 进入 系统 。 若 密码 错误 ， 就 按 序 取出 下 一 个 单词 ， 进 行 下 一 个 尝试 ， 并 一 
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直 循环 下 去 ， 直 到 找到 正确 的 密码 或 字典 的 单词 试 完 为 止 。 由 于 这 个 破译 过 程 由 计算 机 程 
序 自动 完成 ， 因 而 几 个 小 时 就 可 以 把 几 十 万 条 记录 的 字典 里 所 有 单词 都 党 试 一遍 。 
密码 破解 通常 有 蛮 力 攻击 和 字典 攻击 两 种 方式 。UNIX 中 一 共有 [0x00—0xFF]128 个 
字符 ， 其 中 95 个 字符 (10 个 数字 、33 个 标点 符号 、52 个 大 小 写字 母 ) 可 作为 密码 的 字符 。 
假设 m 为 可 能 使 用 的 字符 集 的 大 小 ，n 为 密码 的 长 度 ， 则 可 生成 的 密码 数 为 m 的 n W. 
随 着 字符 集 的 扩大 与 密码 长 度 的 增加 ， 密 码 攻击 尝试 次 数 将 迅速 增加 。 如 密码 长 度 为 6， 
取 字 母 和 数字 组 合 ， 可 能 性 是 62 ЙО 6 0С, Е 56800235584。 但 如 果 5 个 字母 是 一 个 党 
汉字 的 拼音 或 英文 单词 ， 估 算 一 下 常用 词 约 为 10000 条 ， 从 10000 个 常用 词 中 取 一 个 词 与 
任意 一 个 数字 字符 组 合成 密码 ， 则 仅 10 万 种 可 能 。 在 密码 的 设置 过 程 中 , 还 有 许多 个 人 因 
素 在 起 作用 ， 为 使 自己 的 密码 容易 记忆 ， MET en н 生日 、 电 话 号 码 、 街 



















































































道 号 码 等 作为 密码 ， 这 样 便 为 密码 的 破解 留 下 了 方便 之 实验 室 的 计算 机 安全 专家 
R.Morris 和 .Thompson 提出 了 这 样 一 种 攻击 的 可 能 性 用 户 的 信息 建立 一 个 他 可 
能 使 用 的 密码 的 字典 。 比 如 : 他 父亲 的 名 字 、 女 月 或 名 字 、 街 道 的 名 字 等 。 然 后 
对 这 个 字典 进行 加 密 ， 每 次 拿 出 一 个 经 过 加 密 目 与 密码 文件 比较 ， 若 一 致 ， 密 码 
就 被 猜 到 了 。 在 现代 的 UNIX 操作 系统 中 ， 基本 信息 存放 在 passwd 文件 中 ， 而 所 有 
的 密码 则 经 过 DES 加 密 方法 加 密 后 专门 不 -个 叫 shadow 的 文件 中 。 黑 客 们 获取 密码 
文件 后 ， 就 会 使 用 专门 的 破解 DE 程序 来 解密 码 。 


有 很 多 专门 生成 字典 的 程序 ictmake、txt2 key 等 。 以 Dictmake 为 例 ， 启 
动 程序 后 ， 计 算 机 会 要 求 小 密码 长 度 、 最 太 密 
























度 、 密码 包含 的 小 写字 符 、 大 写 





字符 、 数 字 、 有 没有 、 含 标点 符号 闻 符 等 一 系列 问题 。 当 回答 完了 计算 机 
жың тара, ФМ) ЕТТІ! $ 所 有 的 组 合 方式 列 出 来 并 存 到 文件 中 ， 

而 这 个 文件 就 HN ENEA - 些 数据 字典 可 以 下 载 ， 包 含 的 条 目 从 一 万 
到 几 十 万 条 。 - 典 一 般 宫 括 了 常用 的 单词 。 攻 击 者 一 旦 通过 某 种 途径 获得 了 passwd X 





件 ， 破 译 过 程 便 只 需 一 个 简单 的 C 程序 即 可 完成 。 
4. 放置 特洛伊 木马 程序 


一 些 木马 程序 能 够 记录 用 户 通过 键盘 输入 的 密码 或 提取 密码 文件 发 给 攻击 者 ， 很 多 月 
户 的 QQ 账号 丢失 就 是 由 于 中 了 木马 所 导致 的 。 


9.3.2 ”密码 攻防 对 策 


防范 的 办 法 很 简单 ， 只 要 使 自己 的 密码 不 在 英语 字典 中 ， 且 不 可 能 被 别人 猜测 出 就 可 
以 了 。 一 个 好 的 密码 应 当 至 少 有 7 个 字符 长 ， 不 要 用 个 人 信息 (如 生日 、 名 字 等 )， 密 码 中 
要 有 一 些 非 字 母 (如 数字 、 标 点 符号 、 控 制 字 符 等 )， 还 要 好 记 一 些 ， 不 能 写 在 纸 上 或 计算 
机 中 的 文件 中 ， 选 择 密码 的 一 个 好 方法 是 将 两 个 不 相关 的 词 用 一 个 数字 或 控制 字符 相连 ， 
并 截断 为 8 个 字符 ， 例 如 wa7+Ster。 

保持 密码 安全 的 要 点 如 下 。 

D 不 要 将 密码 写 下 来 。 

D 不 要 将 密码 保存 在 计算 机 文件 中 。 

(3) 不 要 选取 显而易见 的 信息 作 密码 。 
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(4) 不 要 让 别人 知道 。 

(5) 不 要 在 不 同系 统 中 使 用 同一 密码 。 

(6) 为 防止 眼疾 手 快 的 人 窃取 密码 ， 在 输入 密码 时 应 确认 无 人 在 身边 。 

(7) 定期 改变 密码 ， 至 少 6 个 月 改变 一 次 。 

最 后 这 点 是 十 分 重要 的 ， 永 远 不 要 对 自己 的 密码 过 于 自信 ， 人 们 很 容易 在 无 意 中 汇 

了 密码 。 定 期 改变 密码 ， 会 使 自己 遭受 黑客 攻击 的 风险 降 到 一 定 的 限度 内 。 一 旦 发 现 自 

的 密码 不 能 进入 计算 机 系统 ， 应 立即 向 系统 管理 员 报 告 ， 由 管理 员 来 检查 原因 。 
系统 管理 员 也 应 当 定 期 运行 这 些 破译 密码 的 工具 , 来 尝试 破译 shadow 文件 , 若 有 

的 密码 被 破译 出 ， 说 明 这 些 用 户 的 密码 取得 过 于 简单 或 有 规律 可 循 ， 应 尽快 通知 他 们 


时 更 正 密码 ， 以 防止 黑客 的 入 侵 。 
Fy P & 
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94 特洛伊 木马 攻防 


木马 是 指 通 过 特定 的 程序 (木马 程序 ) 来 远程 控制 目标 i 4 一 种 攻击 手段 。 木 马 通 
常 有 两 个 可 执行 程序 : eap, Me, i 0 民 务 端 ， 即 被 控制 端 。 木 马 的 
全 - 且 运 行 并 被 控制 端 
连接 ， 其 控制 端 将 享有 服务 端的 大 部 分 操作 权 咎 例如 给 计算 机 增加 口令 ， 浏 览 、 移 动 、 
ТМГ” 


941 特洛伊 木马 攻击 原理 
使 用 木马 这 种 黑客 工具 i 
步 来 详细 阐述 木马 的 攻击 
É 配置 木马 A 


usos od 成 熟 的 木马 都 азық 从 具体 的 配置 内 容 看 ， 主 要 是 为 了 
实现 以 下 两 方 

1) 木马 伪装 

木马 配置 程序 为 了 在 服务 端 尽 可 能 地 隐藏 好 木马 , 会 采用 多 种 伪装 手段 ， 如 修改 图 标 、 
捆绑 文件 、 定 制 端口 、 自 我 销毁 等 。 

2) 信息 反馈 

木马 配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 , 如 设置 信息 反馈 的 邮件 地 址 、IRC 
号 、ICQ 号 等 。 

2. 传播 木马 

1) 传播 方式 

木马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail， 控 制 端 将 木马 程序 以 附件 的 形式 夹 
在 邮件 中 发 送出 去 ， 收 信人 只 要 打开 附件 系统 就 会 感染 木马 病毒 ， 另 一 种 是 软件 下 载 ， 一 
些 非 正规 的 网 站 以 提供 软件 下 载 为 名 义 ， 将 木马 捆绑 在 软件 安装 程序 上 ， 下 载 后 ， 只 要 一 
运行 这 些 程序 ， 木 马 病毒 就 会 被 自动 安装 。 

2) 伪装 方式 

鉴于 木马 的 危害 性 ， 很 多 人 对 木马 知识 还 是 有 一 定 了 解 的 ， 这 对 木马 的 传播 起 了 一 定 





















> Кай 6 步 。 接 下 来 就 按 这 6 
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的 抑制 作用 ， 这 是 木马 设计 者 所 不 愿 见 到 的 ， 因 此 他 们 开发 了 多 种 功能 来 伪装 木马 ， 以 达 
到 降低 用 户 警 觉 ， 欺 骗 用 户 的 目的 。 

(1) 修改 图 标 。 服 务 器 的 图 标 必须 能 够 迷惑 目标 计算 机 的 主人 ， 如 果木 马 的 图 标 看 上 
去 像 是 系统 文件 ， 计 算 机 的 主人 就 不 会 轻易 地 删除 它 。 另 外 ， 在 E-mail 的 附件 中 ， 木 马 设 
计 者 们 将 木马 服务 端的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文件 形式 的 图 标 ， 这 样 就 有 相 
当 大 的 迷惑 性 ,现在 这 种 木马 很 常见 。 例 如 BO， 它 的 图 标 是 透明 的 ， 并且 没 有 文件 名 ， 其 
后 缀 名 是 EXE， 由 于 Windows 默认 方式 下 不 显示 后 级 名 ， 所 以 在 资源 管理 器 中 就 看 不 到 这 个 
文件 。 

(2) 捆绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 ， 当 运行 安装 程序 时 ， 
木马 在 用 户 毫 无 察觉 的 情况 下 ， 偷 偷 地 进入 了 系统 。 至 于 的 文件 一 般 是 可 执行 文件 
(EI EXE. COM 一 类 的 文件 )。 

(3) 出 错 显示 。 有 一 定 木 马 知识 的 人 都 知道 ， pk -个 文件 ， 没 有 任何 反应 ， 这 
很 可 能 就 是 个 木马 程序 ， 木 马 的 设计 者 也 意识 缺陷 ， 所 以 已 经 有 木马 提供 了 一 个 
做 出 错 显示 的 功能 。 当 服务 端 用 户 打开 木马 积 好 村， 会 弹出 一 个 错误 提示 框 (这 当然 是 假 
的 )， 错 误 内 容 可 自由 定义 ， К E 诸 如 “文件 已 破坏 ， 无 法 打开 !” 之 类 的 信 

ТІГІН 


息 ， 当 服务 端 用 户 信以为真 时 ， 木 可 侵入 了 系统 。 
(4) 定制 端口 。 很 多 老式 ЛЕКЦИЯ 判断 是 否 感染 了 木马 带 来 了 方 


便 ， 只 要 查 一 下 特定 的 端 erp he, Sas 所 以 现在 很 多 新 式 的 木马 病毒 都 
55. 
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加 入 了 定制 端口 的 功能 失控 制 端 用 户 可 以 在 35 之 间 任 选 一 个 端口 作为 木马 端口 
(一 般 不 选 1024 идя 1)， 这 样 就 给 > 染 的 木马 类 型 带 来 了 麻烦 。 
(5) 自我 项 功能 是 为 了 弥 伦 雁 马 的 一 个 缺陷 。 当 服务 端 用 户 打开 含有 木马 的 


文件 后 ， 木 马 健将 自己 复制 到 Windows 的 系统 文件 夹 中 (C:\WINDOWS 或 C\WINDOWS\ 
SYSTEM HKF) 一 般 来 说 ， 原 木马 文件 和 系统 文件 夹 中 的 木马 文件 的 大 小 是 一 样 的 ( 捆 
绑 文 件 的 木马 除外 )， 那 么 中 了 木马 之 后 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 马 
文件 ， 然 后 根据 原木 马 的 大 小 去 系统 文件 夹 找 相 同 大 小 的 文件 ， 判 断 一 下 哪个 是 木马 就 行 
了 。 而 木马 的 自我 销毁 功能 是 指 安装 完 木 马 后 ， 原 木马 文件 将 被 自动 销毁 ， 这 样 服务 端 
户 就 很 难 找到 木马 的 来 源 ， 在 没有 查 杀 木马 的 工具 帮助 下 ， 就 很 难 删除 木马 了 。 

(6) 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ， 只 要 根据 一 些 查 
杀 木 马 的 文章 ， 按 图 索 怠 在 系统 文件 夹 查找 特定 的 文件 ， 就 可 以 断定 中 了 什么 木马 。 所 以 
现在 很 多 木马 都 允许 控制 端 用 户 自 由 定制 安装 后 的 木马 文件 名 ， 这 样 很 难 判断 所 感染 的 木 
马 类 型 了 。 

3. 运行 木马 

服务 端 用户 运 行 木马 或 捆绑 木马 的 程序 后 ， 木 马 就 会 被 自动 安装 。 首 先 将 自身 复制 到 
Windows 的 系统 文件 夹 中 (C:\WINDOWS 或 CAWINDOWS\SYSTEM 目录 下 )， 然 后 在 注册 
表 、 启 动 组 、 非 启动 组 中 设置 好 木马 的 触发 条 件 ， 这 样 木马 的 安装 就 完成 了 。 安 装 后 就 可 
以 启动 木马 了 。 
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1) 由 触发 条 件 激活 木马 

触发 条 件 是 指 启动 木马 的 条 件 ， 大 致 出 现在 下 面 几 个 地 方 。 

(1) 注册 表 。 打 开 HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentV 
ersion\ 下 的 5 个 Run 和 RunServices 主键 ， 在 其 中 寻找 可 能 是 启动 木马 的 键 值 。 

打开 НКЕҮ CLASSES_ ROOT 文件 类 型 \shellvopenwcommand 主键 , 查看 其 键 值 。 例如 ， 
国产 木马 “冰河 ”就 是 修改 HKEY CLASSES ROOTtxtfile\shellvopenvcommand 下 的 键 值 ， 
将 “C AWINDOWS \NOTEPAD.EXE %1” 改 为 “C:\WINDOWS\SYSTEM\SYSEXPLR.EXE 
%1”。 这 时 双击 一 个 TXT 文件 ， 原 本 应 用 Notepad 打开 文件 的 ， 现 在 却 变 成 启动 木马 程序 
了 。 还 要 说 明 的 是 不 光 是 TXT 文件 ， 通 过 修改 HTML、EXE、ZIP 等 文件 的 启动 命令 的 键 
值 都 可 以 启动 森马， 不 同 之 处 只 在 于 “文件 类 型 ” ` TXT 是 txtfile, ZIP 


是 WINZIP。 
(2) МІМІМІ. CAWINDOWS 目录 下 有 一 个 配 in.ini， 用 文本 方式 打开 ， 在 
是 


[windows] 字 段 中 有 启动 命令 load= 和 run=， 在 空白 的 ， 如 果 有 启动 程序 ， 可 
能 是 木马 。 
(3) SYSTEM.INI. CAWINDOWS J| 












































个 配置 文件 system.ini， 用 文本 方式 打开 ， 

















[386Enh]、[mic]、[drivers32] 中 有 命 在 其 中 寻找 木马 的 启动 命令 。 
(4) Autoexec.bat 和 Config. Z C 盘 根 目录 下 的 这 两 个 文件 也 可 以 启动 木马 。 但 这 
种 加 载 方式 一 般 都 需要 控 角 与 服务 端 建立 连接 已 添加 木马 启动 命令 的 同名 文 


件 上 传 到 服务 端 履 盖 这 六 i 

(5) *.INI。 应 гаа AGAUE HERRN A, 将 制 
作 好 的 带 有 本 енмесе BSD 务 端 覆盖 这 个 同名 文件 ， 这 样 就 可 以 达到 启 
动 木马 的 目的 AN Í 

(6) 捆绑 文件 。 实 现 这 种 触发 条 件 首先 要 求 控制 端 和 服务 端 已 通过 木马 建立 连接 ， 然 
后 控制 端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ， 然 后 上 传 到 服务 端 覆 盖 
原文 件 ， 这 样 即使 木马 被 删除 了 ， 只 要 运行 捆绑 了 木马 的 应 用 程序 ， 木 马 也 会 被 安装 上 去 。 

(7) 启动 菜单 。 在 启动 选项 下 也 可 能 存在 木马 的 触发 条 件 。 

2) 木马 运行 过 程 

木马 被 激活 后 ， 进 入 内 存 ， 并 开启 事先 定义 的 木马 端口 ， 准 备 与 控制 端 建立 连接 。 这 
时 服务 端 用 户 可 以 在 MS-DOS 方式 下 ， 输 入 netstat-an 查看 端口 状态 就 能 发 现 是 否 感染 木 
Ys 

在 上 网 过 程 中 要 下 载 软件 、 发 送信 件 、 网 上 聊天 等 所 以 必然 打开 一 些 端 口 ， 下 面 是 一 
些 常用 的 端口 。 
(1) 1 一 1024 之 间 的 端口 ， 这 些 端 口 叫 保留 端口 ， 是 专 给 一 些 对 外 通信 的 程序 用 的 ， 如 
FTP 使 用 21, SMTP 使 用 25, POP3 使 用 110 等 。 只 有 很 少 一 些 木 马 会 用 保留 端口 作为 木 
马 端口 。 
(2) 1025 以 上 的 连续 端口 ， 在 上 网 浏览 网 站 时 ， 浏 览 器 会 打开 多 个 连续 的 端口 下 载 文 
字 、 图 片 到 本 地 硬盘 上 ， 这 些 端口 都 是 1025 以 上 的 连续 端口 。 
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(3) 4000 端口 ， 这 是 OICQ 的 通信 端口 。 

(4) 6667 端口 ， 这 是 IRC 的 通信 端口 。 

除 上 述 的 端口 基本 可 以 排除 在 外 ， 如 发 现 还 有 其 他 端口 打开 ， 尤 其 是 数值 比较 大 的 端 
口 ， 就 要 怀疑 是 否 感 当 了 木马 。 当 然 如 果木 马 有 定制 端口 的 功能 ， 那 任何 端口 都 有 可 能 是 
木马 端口 。 

4. 泄露 信息 

- 般 来 说 ， 设 计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信 息 反 馈 机 制 是 指 木马 成 功 安 

装 后 会 收集 一 些 服务 端的 软 硬 件 信息 ， 并 通过 E-mail、IRC 或 ICQ 的 方式 告知 控制 端 用 户 。 


-个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : J 安装 了 木马 程序 ， 二 是 控 
制 端 及 服务 端 都 要 在 线 。 n (IR 3028 764, 
6. 远程 控制 





























木马 连接 建立 后 ， 控 制 端 端 口 和 布 卫 间 将 会 出 现 一 条 通道 ， 控 制 端 上 的 控制 端 
ee 得 联系 ， 并 通过 木马 程序 对 服务 端 进行 远程 
控制 。 下 面 就 介绍 一 下 控制 端 这 远 比 想象 的 要 大 。 

(1) 窃取 密码 : 一 切 以 明 久 的 形式 、* 形 式 存 态 E Cache 中 的 密码 都 能 被 木马 侦 
测 到 ， 4... же ERIR 30 НИН НЕЙ ӘУЕ, Br 
Ш-Н А НӘ SPS ВЕ 










(2) 文件 操作 : Рен n] Hp paqu 务 端 上 的 文件 进行 删除 、 新 建 、 修 改 、 上 传 、 
下 载 、 运 行 、 属性 等 一 系列 操作 ， 基 本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 

(3) 修改 注册 表 : 控制 端 可 任意 修改 服务 端 注册 表 ， 包 括 删除 、 新 建 或 修改 主键 、 子 
键 及 键 值 。 有 了 这 项 功能 ， 控 制 端 就 可 以 禁止 服务 端 软驱 及 光驱 的 使 用 ， 锁 住 服 务 端的 注 
册 表 ， 将 服务 端 上 木马 的 触发 条 件 设置 得 更 隐蔽 一 些 。 

(4) 系统 操作 : 这 项 内 容 包括 重启 或 关闭 服务 端 操作 系统 ， 断 开 服 务 端 网 络 连接 ， 控 
制服 务 端的 鼠标 、 键 盘 、 监 视 服务 端 桌面 操作 ， 查 看 服务 端 进程 等 ， 控 制 端 甚至 可 以 随时 
给 服务 端 发 送信 息 。 


942 ”特洛伊 木马 程序 的 防范 对 策 


在 对 付 特 洛 伊 木马 程序 方面 ， 有 以 下 儿 种 办 法 。 

1) 提高 防范 意识 

在 打开 或 下 载 文件 之 前 ， 一 定 要 确认 文件 的 来 源 是 否 可 靠 。 

2) 多 读 readme.txt 

许多 人 出 于 研究 目的 下 载 了 一 些 特洛伊 木马 程序 的 软件 包 ， 在 没有 弄 清 软 件 包 中 几 个 
程序 的 具体 功能 前 ， 就 匆匆 地 执行 其 中 的 程序 ， 这 样 往往 就 错误 地 执行 了 服务 器 端 程序 而 
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使 用 户 的 计算 机 成 为 特洛伊 木马 的 牺牲 品 。 软 件 包 中 经 常 附带 的 readme.txt 文件 会 有 对 程 
序 的 详细 功能 介绍 和 使 用 说 明 ， 尽 管 它 一 般 是 英文 的 ， 还 是 应 先 阅读 一 下 ， 如 果实 在 读 不 
懂 ， 则 最 好 不 要 执行 任何 程序 ， 丢 弃 软 件 包 当然 是 最 保险 的 。 值 得 一 提 的 是 ， 有 许多 程序 
说 明 做 成 可 执行 的 readme.exe 形式 ，readme.exe 往往 捆绑 有 病毒 或 特洛伊 木马 程序 ， 或 者 
干脆 就 是 由 病毒 程序 、 特 洛 伊 木马 的 服务 器 端 程序 改名 而 得 到 的 ， 目 的 就 是 让 用 户 误 以 为 
是 程序 说 明文 件 去 执行 它 ， 所 以 从 互联 网 上 得 来 的 readme.exe 文件 最 好 不 要 执行 。 

3) 使 用 杀毒 软件 

现在 国内 的 杀毒 软件 都 推出 了 清除 某 些 特洛伊 木马 的 功能 ， 可 以 不 定期 地 在 脱 机 的 情 
况 下 进行 检查 和 清除 。 另 外 ， 有 的 杀毒 软件 还 提供 网 络 实时 监控 功能 ， 这 一 功能 可 以 在 黑 
客 从 远 端 执行 用 户 机 器 上 的 文件 时 ， . 55 ты 
行文 件 后 无 法 正确 执行 ， 从 而 避免 了 进一步 的 损失 ， 但 ， 它 不 是 万 能 的 
4) 立即 挂 断 
尽管 造成 上 网 速度 突然 变 慢 的 原因 很 多 ， N 怀疑 这 是 由 特洛伊 木马 造成 的 。 当 
















































































入 侵 者 使 用 特洛伊 的 客户 端 程序 访问 机 器 常 访问 抢占 宽带 ， 特 别 是 当 入 侵 者 从 

远 端 下 载 用 户 硬盘 上 的 文件 时 ， 正 党 еве. 这 时 ， 可 以 双击 任务 栏 右 下 角 

的 连接 图 标 ， 仔 细 观 察 一 下 “已 发 宰 Шы жаа адақ р 几乎 可 以 确认 

有 人 在 下 载 硬 盘 文 件 ， 除 非 下 TP 功能 。 端口 熟悉 的 用 户 ， 可 以 在 DOS 

2. netstat-a” Ж еа Е ы 言 进程 ， 当 有 具体 的 IP 正 使 用 不 
就 































常见 的 端口 m. 这 一 是 特洛伊 木马 的 通信 端口 。 当 发 现 
semi en plan 就 是 立即 挂 对 硬盘 有 无 特洛伊 木马 进行 认真 的 检查 。 
5) 注册 表 的 变化 
普通 ММ 常 观察 位 于 C:、C: INDON: C:WINDOWS\SYSTEM 这 3 个 目 录 下 

















的 文件 。 з. 逐一 打开 C: 下 的 非 执行 类 文件 ( 除 exe, bat, com 以 外 的 文件 )， 查 
看 是 否 发 现 特洛伊 木马 、 击 键 程序 的 记录 文件 , 在 C:WINDOWS 或 C:WINDOWS\SYSTEM 
下 如 果 有 光 有 文件 名 没有 图 标的 可 执行 程序 ， 应 该 把 它们 删除 ， 然 后 再 用 杀毒 软件 进行 认 
真 的 清理 。 

6) 备份 文件 和 注册 表 

备份 注册 表 的 目的 是 防止 系统 崩溃 ， 如 果 此 文件 不 是 特洛伊 木马 就 可 以 恢复 ， 如 果 是 
特洛伊 木马 就 可 以 对 木马 进行 分 析 。 不 同 的 特洛伊 木马 有 不 同 的 清除 方法 。 

最 后 ， 还 要 提醒 注意 以 下 几 点 。 

() 不 要 轻易 运行 来 历 不 明和 网 上 下 载 的 软件 。 即 使 通过 了 一 般 反 病 毒 软件 的 检查 也 
不 要 轻易 运行 。 
(2) 保持 警惕 性 ， 不 要 轻易 相信 熟人 发 来 的 E-mail 就 一 定 没有 黑客 程序 。 
(3) 不 要 在 聊天 室内 公开 自己 的 E-mail 地 址 ， 对 来 历 不 明 的 E-mail 应 立即 清除 。 
(4) 不 要 随便 下 载 软件 (特别 是 不 可 靠 的 FTP 站 点 )。 
(5) 不 要 将 重要 密码 和 资料 存放 在 上 网 的 计算 机 里 。 











ED 
Es P 


特洛伊 木马 攻击 的 常用 工具 及 方法 
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9.5 缓冲 区 溢出 攻防 





缓冲 区 溢出 是 一 种 非常 普遍 、 非 常 危 险 的 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 存 
在 。 利 用 缓冲 区 溢出 攻击 ， 可 以 导致 程序 运行 失败 、 系 统 宕 机 、 重 新 启动 等 后 果 。 更 为 严 
重 的 是 ， 可 以 利用 它 执行 非 授权 指令 ， 甚 至 可 以 取得 系统 特权 ， 进 而 进行 各 种 非法 操作 。 
9.5.1 缓冲 区 溢出 的 原理 


缓冲 区 溢出 攻击 是 指 通过 向 程序 的 缓冲 区 写 超出 其 长 度 的 
Шабана 使 程序 转 而 执行 其 他 指令 ， 以 达 及 


void function(char *str) { 
char buffer[16]; 
strcpy (buffer, str); 
ж 
上 面 的 strcpy( ) 将 直接 把 复制 到 buffer. 中 。 这 样 只 要 str 的 长 度 大 于 16, 
"u men ap TIHE ff fE 8 s меи ). 


sprintf( )、vsprintf( )、gets ап). 

当然 ， а 2: Эру ефе 只 会 出 现 “ 分 段 错 误 ” 而 不 能 达到 攻击 
的 目的 。 最 常见 的 经 这 ТІГЕТІН -个 用 户 shell, 
再 通过 shell ЭХА 









































， 造 成 缓冲 区 的 溢出 ， 
的 。 造 成 缓冲 区 溢出 的 
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他 命令 。 如 果 该 程序 属于 root 且 有 suid 权限 ， 攻 击 者 就 获得 了 一 个 有 
root 权限 的 shell， 可 以 对 系统 进行 任意 操作 。 一 般 而 言 ， 攻 击 者 是 通过 攻击 root 程序 ， 然 
后 执行 类 似 “exec(sh)” 的 执行 代码 来 获得 root 权限 的 shell. 为 了 达到 这 个 目的 ,攻击 者 必 
须 达 到 如 下 的 两 个 目标 。 

(1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 。 

(2) 通过 适当 的 初始 化 寄存 器 和 内 存 ， 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 

缓冲 区 溢出 攻击 之 所 以 成 为 一 种 常见 安全 攻击 手段 ， 其 原因 在 于 缓冲 区 溢出 漏洞 太 普 
遍 了 ， 并 且 易 于 实现 。 而 且 缓 冲 区 溢出 成 为 远程 攻击 的 主要 手段 ， 原 因 在 于 缓冲 区 溢出 漏 
洞 给 予 了 攻击 者 想 要 的 一 切 : 植 入 并 且 执 行 攻击 代码 。 被 植 入 的 攻击 代码 以 一 定 的 权限 运 
行 有 缓冲 区 溢出 漏洞 的 程序 ， 从 而 得 到 被 攻击 主机 的 控制 权 。 


9.5.2 缓冲 区 溢出 攻击 的 防范 对 策 












































缓冲 区 溢出 攻击 的 防范 主要 从 操作 系统 安全 和 程序 设计 两 方面 实施 。 操 作 系统 安全 是 
最 基本 的 防范 措施 ， 方 法 也 很 简单 ， 就 是 及 时 下 载 和 安装 系统 补丁 。 程 序 设计 方面 的 措施 
主要 是 以 下 几 点 
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1. 编写 正确 的 代码 

编写 正确 的 代码 是 一 件 有 意义 但 耗 时 的 工作 ， 特 别 是 编写 像 C 语言 那 种 具有 容易 出 错 
倾向 的 程序 (如 字符 串 的 零 结尾 )。 尽 管 人 们 知道 了 如 何 编写 安全 的 程序 ， 具 有 安全 漏洞 的 
程序 依旧 出 现 。 因 此 人 们 开发 了 一 些 工具 和 技术 来 帮助 程序 员 编写 安全 正确 的 程序 。 
最 简单 的 方法 就 是 用 grep 搜索 源 代码 中 容易 产生 漏洞 的 库 的 调用 ,例如 strcpy 的 sprinf 
的 调用 ， 都 没有 检查 输入 参数 的 长 度 。 

2， 非 执行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ， 从 而 使 得 攻击 者 不 可 能 执行 被 攻击 程 
序 输入 缓冲 区 的 代码 ， 这 种 技术 被 称 为 非 执行 的 缓冲 区 技术 

非 执行 堆栈 的 保护 可 以 有 效 地 对 付 把 代码 植 入 自动 
他 形式 的 攻击 则 没有 效果 。 通 过 引用 一 个 驻 留 程序 的 
他 攻击 可 以 把 代码 植 入 堆栈 或 者 静态 数据 中 来 跳 过 

3. 数组 边界 检查 
植 入 代码 引起 缓冲 区 溢出 是 рее 程序 的 执行 流程 是 另 一 个 方面 。 不 像 非 执 
行 的 缓冲 区 保护 ， 数 组 边界 检查 完全 缓冲 区 溢出 的 产生 和 攻击 。 

4. NA 




















































冲 区 溢出 攻击 ， 而 对 于 
可 以 跳 过 这 种 保护 措施 。 殿 









































与 边界 检查 略 有 不 局 ETE 程序 指针 完整 性 检查 是 在 程序 指针 
被 引用 之 前 检测 到 3 aman. ИИ Hi 
于 系统 事先 检测 的 改变 ， te 十 将 不 会 被 使 用 。 

与 数组 总 i 相 比 ， 这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 。 但 采用 其 他 的 缓冲 区 
游 出 方法 就 可 以 避免 这 种 检查 。 但 是 这 种 方法 在 性 能 上 有 很 大 的 优势 ， 而 且 兼容 性 也 很 好 。 


SE 应 用 案例 4 
缓冲 区 溢出 攻击 示例 


Microsoft Windows 2000 WebDAV 48 E A U3 (Zn (Ju 8088 ӨРДЕ (Huk (E IX НЕ IIS 0, 0 £ 
ЖЕ ЕХ Еее" EPP 9 ША EX fo ntdll.dll ННІ АРІ fH ДАА E IX ИЕ ДІН 
1 (Е АРОН HEUS KERE CMicrosoft IIS 5.0(Internet Infomation Server)j Microsoft Windows 2000 
ЖИН Wini] 98 88 fy 88 ТХ 920 |8 НТТР (881916215 5.0 KRR T (я WebDAV ӨЗ fr IXWebDAV 
ЕНДІ HTTP ЛИДА 1 BE JR РНН Ci fE a UNSa HTTP НИХ K (S Rn a H n ti 

HS 5.0 0 {EHF WebDAV RESE l E| BEAk fü a ETERA Т СЕ y. AD KERE 
WebDAV IR E ORE БЕ IX ER Е Web #0008 2282635 [Ej z ІНІН 

HS 5.0 Pf WebDAV ILAT ntdll.dll ЭС F ШЕ ХХ. AEAEE НЕН N RE А n E Chi E h: 
WebDAV РЛЕР НКТ KEE OARA i KEREKE LocalSystem MES O KEE gE IKS 
TEE S E 48-І 












































IXIAR 

buen ea X t 261 E RER O 

(1) Microsoft IIS 5.07) 

(2) Microsoft Windows 2000 Server SP3 G 

(3) Microsoft Windows 2000 Professional SP3 O 

(4) Microsoft Windows 2000 Datacenter Server SP3 O 

(5) Microsoft Windows 2000 Advanced Server SP3 G 

ОХЕ ЗЕТА AE 

(1) Webdavscan.exe JÚ webdav ИЕ 3 Қ IR IX ЭНЕ S BHA ОР EREHE IP BJ $i АИА IX 9р 
АЈ (Ж Microsoft IIS 5.0 |Н МӘСЕ ИІН f: WebDAV ОРЗ t [X W ЕИ 89 2 с enable ХИС 0-15 81 
ЖЕЛ WebDAV ЖӨНИНИДЕГІ 
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划 telnet ip 7788 由 区 已 


(2) webdavx3.exe 二 isno 孜 人 Windows 2000 PEA окб BB E ТХ АТА ат 


ЗХ 5- 
MERE i ВОН iR Z 3% 


Solution\Q815021_W2K_sp4_x86 > А1809: Pš Windows 2000 
SolutioniQ815021_W2K_sp4/ х8 .EXE -> ft GRBE Windows 2000 


WebDAV СЕНДЕ fate fa E t K s Wi 
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Е 4 of Service, пуб 服务 器 充斥 大 量 要 求 回复 的 信息 ， 消 耗 网 
жә 


trik A 65935 /导致 网 络 或 系统 


9.6.1 


荷 直至 瘫痪 而 停止 提供 正常 的 网 络 服务 。 
拒绝 服务 攻防 概述 


拒绝 服务 的 一 种 攻击 方式 为 : 传送 众多 要 求 确认 的 信息 到 服务 器 ， 使 服务 器 里 充斥 着 








各 种 无 
法 找到 














的 信息 。 所 有 的 信息 都 有 需 回复 的 虚假 地 址 ， 以 至 于 当 服 务 器 试图 回 传 时 ， 却 无 




















户 。 于 是 服务 器 暂时 等 候 ， 有 时 超过 一 分 钟 ， 然 后 再 切断 连接 。 服 务 器 切断 连接 


时 ， 黑 客 再 度 传送 新 一 批 需要 确认 的 信息 ， 这 个 过 程 周 而 复 始 ， 最 终 导 致 服务 器 瘫痪 。 
最 常 遭 受 攻击 的 目标 包括 路 由 器 、 数 据 库 、Web 服务 器 、FTP 服务 器 和 与 协议 相关 的 


ДЕЛЕ 
9.6.2 





DNS, WINS 和 SMB). 
拒绝 服务 模式 分 类 


拒绝 服务 有 很 多 种 分 类 方法 ， 按 照 入 侵 方式 ， 拒 绝 服务 可 以 分 为 资源 消耗 型 、 配 置 修 


改 型 、 





物理 破坏 型 及 服务 利用 型 。 





1. 


资源 消耗 型 


资源 消耗 型 拒绝 服务 是 指 入 侵 者 试图 消耗 目标 的 合法 资源 ， 例 如 网 络 带宽 、 内 在 和 磁 
盘 空间 及 CPU 使 用 率 ， 从 而 达到 拒绝 服务 的 目的 。 




















Fe 


2. 配置 修改 型 


计算 机 配置 不 当 可 能 造成 系统 运行 不 正常 甚至 根本 不 能 运行 。 入 侵 者 通过 修改 或 者 破 
坏 系统 的 配置 信息 来 阻止 其 他 合法 用 户 使 用 计算 机 和 网 络 提供 的 服务 ， 主 要 有 以 下 几 种 。 

(D 改变 路 由 信息 。 

(2) 修改 Windows NT 注册 表 。 

(3) 修改 UNIX 的 各 种 配置 文件 。 

3. 服务 利用 型 

利用 入 侵 目标 的 自身 资源 实现 入 侵 意图 , 由 于 被 入 侵 系 统 具 有 漏洞 和 通信 协议 的 弱点 ， 

给 入 侵 者 提供 了 入 侵 的 机 会 。 入侵 者 常 利用 TCP/IP 及 目标 Жас Ая 有 软件 中 的 

-— AARNA. 例如 投入 使 用 的 昨 务 器 有 这 样 一 个 错误 : 当 出 

Me ЕД» BHE, жаг) 不 0А е» HA ИОС EA 



















































































4% 问 Т 在 TCP/IP гения рик 许 碎片 包 、 大 数据 包 、IP 路 由 选择 
半 公开 TCP 连接 和 数据 包 Flood 等 都 能 降 能 ， 甚 至 使 系统 月 省 


9.6.3 分布 式 拒绝 服务 攻击 


ert А еу 客 经 аратын шы 击 手段 。 本 节 从 概念 
开始 详细 介绍 这 种 攻 4 тва; 客 是 织 并 发 起 的 DDoS 攻击 ， 并 结合 其 中 


的 SYN Flood 实例 ， = 可 以 对 DDoS 2% 个 更 形象 的 了 解 。 最 后 结合 自己 的 经 验 
ks >. 绍 kas 2 Gen 


x” об ей 


DoS 的 攻击 方式 有 很 多 种 ,最 基本 的 Dos 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 
服务 资源 ， 从 而 使 合法 用 户 无 法 得 到 服务 的 响应 。 
DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻击 
- 般 是 采用 一 对 一 方式 的 ， 当 攻击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 小 等 各 项 性 能 指 
标 不 高 时 ， 它 的 效果 更 为 明显 。 随 着 计算 机 与 网 络 技术 的 发 展 ， 计 算 机 的 处 理 能 力 迅速 提 
高 ， 内 存 大 大 增加 ， 同 时 也 出 现 了 千 兆 级 别 的 网 络 ， 这 使 得 DoS 攻击 的 困难 程度 加 大 了 一 一 
目标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 , 例如 攻击 软件 每 秒 可 以 发 送 3000 个 攻击 包 ， 
但 接收 主机 与 网 络 带 宽 每 秒 可 以 处 理 10000 个 攻击 包 , 这 样 一 来 攻击 就 不 会 产生 什么 效果 。 
这 时 候 分 布 式 的 拒绝 服务 攻击 手段 DDoS) 就 应 运 而 生 了 。 理 解 了 DoS 攻击 ，DDoS 的 
原理 就 很 容易 说 明 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 大 了 ТО 倍 , 用 一 台 攻 击 机 来 攻击 不 
再 能 起 作用 的 话 ， 那 么 攻击 者 使 用 10 台 攻 击 机 同时 攻击 呢 ? 用 100 台 呢 ? DDoS 就 是 利 
она 以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 
高 速 广泛 连接 的 网 络 带 来 了 方便 ， 也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 低速 网 
络 时 代 时 ， 黑 客 占领 攻击 用 的 倪 偶 机 时 ， 总 是 会 优先 考虑 离 目标 网 络 距离 近 的 机 器 ， 因 为 
经 过 路 由 器 的 跳 数 少 ， 效 果 好 。 而 现在 电信 和 骨干 结 点 之 间 的 连接 都 是 以 GB 为 级 别 的 ， 大 
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城市 之 间 更 可 以 达到 2.5GB 的 连接 ， 这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 发 起 ， 攻 
击 者 的 倪 癸 机 位 置 可 以 分 布 在 更 大 的 范围 ， 选 择 起 来 更 灵活 。 

2. 被 DDoS 攻击 时 的 现象 

被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ， 网 络 中 充斥 着 大 量 的 无 用 数据 包 ， 源 地 址 是 假 
的 ， 制 造 高 流量 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通信 。 利 用 受害 主 
机 提供 的 服务 或 传输 协议 上 的 缺陷 ， 反 复 高 速 地 发 出 特定 的 服务 请 求 ， 使 受害 主机 无 法 及 
时 处 理 所 有 正常 请 求 ， 严 重 时 会 造成 系统 死机 。 

3. 攻击 运行 原理 
如 图 9.1 所 示 ， 一 个 比较 完善 的 DDoS 攻击 体系 分 成 四 来 部 分 ， 先 来 看 一 下 最 重要 的 
第 2 和 第 3 部 分 ， аа орсонд PM a L BeA L 


















































别 ， 对 第 4 部 分 的 受害 者 来 说 ，DDoS 的 实际 攻击 包 部 分 的 攻击 倪 优 机 上 发 出 的 ， 
第 2 部 分 的 控制 便 儒 机 只 发 布 命令 而 不 参与 实际 对 第 2 和 第 3 部 分 计算 机 ， 黑 
有 控制 权 或 者 是 部 分 的 控制 权 ， 并 把 相应 的 闻 上 传 到 这 些 平台 上 ， 这 些 程序 与 正 
常 的 程序 一 样 运行 并 等 待 来 自 22 还 会 利用 各 种 手段 隐藏 自己 不 被 别人 发 
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指令 的 时 候 ， — С. 起 攻击 了 。 
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9.1 DDoS 攻击 


4. DDoS 攻击 的 防范 


到 目前 为 止 ， 进 行 DDoS 攻击 的 防御 还 是 比较 困难 的 。 首 先 ， 这 种 攻击 的 特点 是 它 利 
了 TCP/IP 协议 的 漏洞 (除非 不 用 ТСРЛР, 才 有 可 能 完全 抵御 住 DDoS 攻击 )。 一 位 资深 的 
安全 专家 给 了 个 形象 的 比喻 : DDoS 攻击 就 好 像 有 1000 个 人 同时 给 你 家 里 打 电话 ， 这 时 候 
你 的 朋友 还 打 得 进来 吗 ? 

网 络 管理 员 作为 一 个 企业 内 部 网 的 管理 者 ， 往 往 也 是 安全 员 、 守 护 神 。 在 所 维护 的 网 
络 中 有 一 些 服务 器 需要 向 外 提供 WWW 服务 ， 因 而 不 可 避免 地 成 为 DDoS 的 攻击 目标 ， 这 
时 可 以 从 主机 与 网 络 设备 两 个 角度 去 考虑 。 
20: 
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(1) 几乎 所 有 的 主机 平台 都 有 抵御 DDoS 的 设置 ， 常 见 的 有 以 下 几 种 。 
O 关闭 不 必要 的 服务 。 

© 限制 同时 打开 的 Syn 半 连 接 数 目 。 

@ 缩短 Syn 半 连 接 的 time out 时 间 。 

© 及 时 更 新 系统 补丁 。 

(2) 网 络 设置 主要 是 网 络 防火 墙 上 的 设置 。 
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DDoS 攻击 实例 一 一 SYN Flo 击 


SYN Flood IE PEKARE š DDoS BERR NEF DoS AE Ср ER W i PAZE М) 
ERTE ERER CISYN Flood Ph BRR УХА: DOE iya UR pk DE RI i 

ІХІТСР £: 90 044 812191 

SYN Flood Д.81 TCP/IP ZI HBR E 










BE CHHE JH PELE AFER EFON SESA EME IX AEREA HHE JH Ëy TCP е ЗА ЕНЛИ IRIE EM а ISNI 
РММ ISN (65Ү. әле ТЕЗДІГІ 

TCP 候 保 (ACK JER ЗЕМСИЯНАЛЕ ТЕЗАХ НЕ JI mani E (6: МАСК JBE BD ФАУ A 
# f TCP ЖОХ 212618) ШІ rí 

2XISYN Flood ТТ 

е 9.3 PJQ 61 45 t$ ІН ATASYN = PE AE SA WR Hè MENE СЕТ MAOR ffy шулай 
SYN+ACK 4 СЗ ЗЕ t: (6 НЕЕ ОЕ е PEDE CAME HE BEDAE) IX Y ri thi fs ER 08 0) 
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1 SYN 1 SYN 
2 SYN+ACK 2 SYN+ACK 
3 ACK 
3 ACK 一 全 < 人 








客户 机 攻击 机 3 下 一 个 SYN 
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Internet 很 多 站 点 都 存在 着 易 受 攻击 的 漏洞 。 仅 仅 通过 IPSec 阻止 对 端口 的 访问 、 给 系 
统 打 上 最 新 的 补丁 并 不 能 完全 阻挡 黑客 的 攻击 。 除 了 强化 网 络 系统 本 身 的 安全 ， 还 要 依赖 
Web 应 用 程序 开发 者 来 加 强 Web 安全 。 以 下 列举 几 种 最 常见 Web 攻击 的 手段 和 防范 方法 。 
1， 跨 站 脚本 攻击 
跨 站 脚本 (Cross-Site Scripting) 一 般 是 指 攻击 者 在 交互 式 的 远程 Web 页 面 ， 如 论坛 中 提 
-个 窃取 用 户 Cookies 或 植 入 木马 的 恶意 链接 给 其 他 访问 者 x 如 果 单 击 浏览 该 链接 ， 婴 
称 
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其 中 的 脚本 将 被 解释 执行 ， 访 问 者 就 会 泄露 自己 的 Cookie 感染 木马 病毒 。 
为 分 层 样式 表 ， 这 很 容易 








有 时 候 跨 站 脚本 被 称 为 “XSS”， 这 是 因为 “sQ 
被 访问 者 误解。 

跨 站 脚本 攻击 的 防范 首先 是 Web 应 用 程度 
防止 脚本 代码 的 执行 ， 其 次 用 户 在 单 击 
JavaScript 和 ActiveX 代码 。 


2，SQL 注入 攻击 











户 输入 数据 ,转换 其 中 的 特殊 字符 ， 
时 要 谨慎 ， 也 可 以 设置 浏览 器 禁止 运行 











SQL ik ABB h: E 24 所 端 输入 数据 而 引起 的 , 这 些 数据 
是 与 SQL 语句 有 关 的 特殊 人 PH 语句 。 
黑客 可 以 利用 六 k 修改 SQL 语句 ， 跳 过 会 员 资格 验证 、 





窃取 会 员 密码 R 记录 外 ,车 至 可 以 用 来 执行 主机 操作 系统 的 命令 。 

防范 SQ 

(Т) 不 要 将 用 户 的 输入 直接 被 嵌入 到 SQL 语句 中 。 用 户 的 输入 必须 进行 过 滤 或 转 义 处 
理 ， 就 是 对 客户 端 输入 的 数据 进行 转 义 处 理 ， 例 如 确定 输入 的 数据 应 该 为 整 型 ， 就 用 intval 
函数 将 数据 转换 为 整 型 数 。 

(2) 使 用 参数 化 的 语句 。 参 数 化 的 语句 使 用 参数 而 不 是 将 用 户 输入 嵌入 到 语句 中 。 在 
多 数 情况 中 ，SQL 语句 就 得 以 修正 。 

3， 会 话 动 持 攻击 

Web 应 用 程序 可 以 通过 Cookies 或 者 Session 来 认证 用 户 。 通过 将 加 密 的 用 户 认 证 信息 
存储 到 Cookies 中 ， 或 者 通过 赋予 客户 端的 一 个 Token, 通常 也 就 是 所 说 的 Session ID 来 在 
服务 器 端 直接 认证 和 取得 用 户 的 身份 信息 ， 不 同 的 是 Cookies 可 以 比较 长 期 地 存储 在 客户 
端 上 ， 而 Session 往往 在 会 话 结束 之 后 服务 器 监视 会 话 不 处 于 活动 状态 而 予以 销毁 ， 这 个 
Session 也 将 从 浏览 器 内 存 里 销毁 。 

对 于 Web 应 用 程序 来 讲 ， 为 了 安全 ， 服 务 器 应 该 将 Cookies 和 客户 端 绑 定 ， 璧 如 将 客 
户 端的 加 密 IP 也 存储 到 Cookies $, 如果 发 现 ІР 发 生变 化 就 可 以 认为 是 Cookies 发 生 了 泄 
漏 ， 应 该 取消 这 个 Cookies， 但 是 这 样 会 给 用 户 带 来 不 便 ， 所 以 一 般 的 应 用 程序 都 没有 对 
Cookies 做 太 多 的 策略 ， 这 就 为 攻击 者 窃取 客户 端 身份 提供 了 可 乘 之 机 。 
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对 于 Session 认证 ， 在 退出 或 者 关闭 浏览 器 而 与 服务 器 的 沟通 结束 之 后 ，Session 在 一 
间 内 也 被 销毁 。 但 是 如 果 程 序 设计 存在 问题 , 可 能 导致 利用 Session 的 机 制 在 服务 器 上 
一 个 后 门 ， 称 为 会 话 (Session) 动 持 攻击 。 

利用 应 用 程序 设计 缺陷 进行 Session 支持 的 攻击 原理 是 :有 效 的 Session ID (ñu fé Kk O, 
合法 用 户 再 次 登录 之 后 ， 如 果 攻 击 者 用 窃取 到 的 Session ID 连接 服务 器 ， 服 务 器 上 就 会 存 
在 两 个 有 效 的 Session ID 。 通 过 研究 应 用 程序 的 Session 超时 机 制 和 心跳 包机 制 ， 就 可 以 长 
久 地 使 这 个 Session 有 效 。 即 使 用 户 退出 应 用 程序 ， 销 毁 了 他 的 Session ID， 仍 然 有 一 个 
Session ID 被 攻击 者 掌握 。 

为 防御 Session 劫持 ， 可 以 在 设计 认证 的 时 候 就 强行 要 求 客户 端 必须 唯一 ， 并 且 认 证 信 
息 要 有 过 期 作废 的 机 制 ， 但 是 这 样 也 会 和 将 Cookies 和 人 Pp k - 样 ， 可 能 带 给 用 户 不 便 ， 
















































































如 何在 设计 的 时 候 意识 到 这 个 问题 并 且 权衡 应 用 和 安全 的 平 往 念 放 是 Web 应 用 程序 设计 者 
要 考虑 的 问题。 aS 
9.8 OX Ж 


本 章 简要 介绍 OT - 般 目标 、 步 骤 和 防范 策略 。 
2) 


ns 括 端口 扫描 >x 贺 络 噢 探 、 密 码 攻击 、 缓 冲 区 浇 出 、 
拒绝 服务 攻击 和 Web 应 用 和 常用 攻击 手段 ， 这 些 攻击 的 防范 策略 。 


AT Жа 实 训 


aa - 章 ， 但 5 个 实 训 题目 也 仅仅 是 最 基本 和 最 典型 的 示 
例 ， 如 果 能 够 通过 实 训 获得 一 些 启示 ， 举 一 反 三 ， 就 可 以 设计 出 更 多 的 实验 问题 ， 从 而 对 
网 络 攻击 防范 有 更 深入 的 了 解 。 


实 训 1: 扫描 器 的 使 用 


实 训 目的 


SuperScan 是 由 Foundstone 开发 的 一 款 免 费 的 、 功 能 十 分 强大 的 工具 ， 与 许多 同类 工 
具 比 较 ， 它 既是 一 款 黑客 工具 ， 又 是 一 款 网 络 安全 工具 。 一 名 黑客 可 以 利用 它 来 收集 远 
程 网 络 主机 信息 。 而 作为 安全 工具 ，SuperScan 能 够 帮助 管理 员 发 现 网 络 中 的 弱点 。 本 实 
验 的 目的 是 利用 SuperScan 对 一 个 网 络 地 址 段 进行 扫描 ， 以 掌握 SuperScan 的 功能 和 使 
方法 。 

实 训 环 境 

(1) 局 域 网 ， 最 好 能 连接 到 Internet。 

(2) SuperScan 4.0. 
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实 训 内 容 


SuperScan 对 ІР 网 络 地 址 段 进 行 扫描 ， 收 集 远 程 网 络 主机 信息 。 
(1) 双击 SuperScan4.exe 程序 ， 打 开 其 主 界面 ， 默 认为 【扫描 】 选项 卡 ， 允 许 输入 一 个 
或 多 个 主机 名 或 IP 范围 ， 也 可 以 选择 文件 下 的 输入 地 址 列表 。 输 入 主机 名 或 IP 范围 后 开 
始 扫 描 ， 单 击 【 运 行 】 按 钮 ，SuperScan 开始 扫描 地 址 ， 如 图 9.4 所 示 。 
| 
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(2) a SuperScan 共 忆 个 主机 列表 ， 其 中 包括 关于 每 台 扫 描 过 的 主 
机 被 发 现 的 。SuperScan ИЙНЕ HTML 格式 显示 信息 的 功能 ， 如 图 9.5 
所 示 ，SuperSc: 





E 机 和 在 每 人 台 主 机 上 哪些 端口 是 天成 的。 



































9.5 _ SuperScan 扫描 结果 


(3) 到 目前 为 止 ， 已 经 能 够 从 一 群 主机 中 执行 简单 的 扫描 ， 然 而 ， 很 多 时 候 需 要 定制 
扫描 。 图 9.6 所 示 为 主机 和 服务 扫描 选项 。 这 个 选项 能 够 决定 具体 哪些 扫描 端口 ， 使 得 在 
扫描 的 时 候 能 看 到 更 多 信息 。 








БЕ оз 


(ау 选项 卡 顶部 是 【查找 主机 】 选 项 。 默 认 发 现 主机 的 方法 是 通过 回 显 请 求 (echo 
requests) .通过 选择 和 取消 各 种 可 选 的 扫描 方式 选项 , 也 能 够 通过 利用 时 间 戳 请 求 (timestamp 
vequests)、 地 址 屏蔽 请 求 (address mask requests) 和 消息 请 求 (information requests) 来 发 现 主 
机 。 选 择 的 选项 越 多 ， 扫 描 用 的 时 间 就 越 长 。 如 果 试 图 尽量 多 地 收集 一 个 明确 的 主机 信息 ， 
建议 首先 执行 一 次 常规 的 扫描 以 发 现 主 机 ， 然 后 再 利用 可 选 的 请 求 选项 来 扫描 。 

选项 卡 的 底部 包括 【UDP 端口 扫描 】 和 【TCP 端口 扫描 】 选 项 。 
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2А 【主机 和 月 设置 】 选 项 卡 

(5) a 选项 卡 ， 如 图 o PPR, 允许 进一步 地 控制 扫描 进程 。 默认 情况 中 的 
首选 项 是 定制 岳 展 过 程 中 主机 和 通过 审查 的 服务 数 。1 是 默认 值 ， 一 般 来 说 足够 了 ， 除 非 
连接 不 太 可 靠 。 
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接 下 来 的 选项 ， 能 够 设置 主机 名 解析 的 数量 。 同 样 ， 数 量 1 足够 了 ， 除 非 连接 不 可 靠 。 
另 一 个 选项 是 对 获取 标志 的 设置 ， 是 根据 显示 一 些 信息 尝试 得 到 远程 主机 的 回应 。 默 
认 的 延迟 是 8000ms， 如 果 所 连接 的 主机 较 慢 ， 则 需要 设置 更 长 的 时 间 。 
旁边 的 滑 块 是 扫描 速度 调节 选项 ， 能 够 利用 它 来 调节 SuperScan 在 发 送 每 个 包 所 要 等 
寺 间 。 最 快 的 可 能 扫描 ， 当 然 是 设 为 0。 可是， 扫描 速度 设置 为 0， 有 人 包 溢 出 的 潜在 可 

如 果 担 心 由 于 SuperScan 引起 的 过 量 包 溢出 ， 最 好 调 慢 SuperScan 的 速度 。 
(6) SuperScan 的 【工具 】 选 项 卡 允 许 很 快 地 得 到 许多 关于 一 个 明确 的 主机 信息 。 先 正 
确 输入 主机 名 或 者 IP 地 址 和 默认 的 连接 服务 器 ,然后 单 击 要 得 到 相关 信息 的 按钮 。 如 ping 

- 台 服 务 器 ，traceroute 和 发 送 一 个 НТТР 请 求 。 图 9.8 о a 
(7) I eie фрун: 枚 举 】 
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валы Ты теа жаа s= TU 
9.8 通过 单 击 不 同 的 按钮 收集 各 种 主机 信息 99 Windows 枚 举 】 选 项 卡 
实 训 2: 破解 密码 
实 训 目的 
LCS 可 以 称 得 上 是 一 款 超 级 密码 解 破 利器 。 这 个 工具 可 以 实现 从 Sam 文件 中 进行 密码 
刺探 破解 ， 对 于 可 以 取得 Sam 文件 的 情况 来 说 ， 选 用 它 是 个 极 不 错 的 想法 。Pwdump 是 一 











аў 











来 抓 取 Windows NT/2000 的 用 户 密码 文档 的 工具 ， 最 新 的 Pwdump4 可 以 用 来 抓 取 
Windows 2000 的 密码 档 (因为 Windows 2000 使 用 了 SYSKEY， 所 以 老 的 Pwdump2 无 法 抓 
取 Windows 2000 的 密码 档 )。 本 实验 的 目的 是 了 解 和 掌握 这 种 密码 破解 的 工作 原理 和 实现 








方法 ， 增 强 设置 复杂 密码 
实 训 环境 
(D 局 域 网 内 的 





的 安全 意识 。 





REHA MB. 


网 络 安全 基础 教程 与 实 训 (第 3 №) 





毒 软件 要 停止 运行 。 

(3) 预 装 Windows 2000 Professional。 

(4) 工具 软件 LC5 和 Pwdump4。 

实 训 内 容 

用 Pwdump4 获取 其 他 主机 加 密 文件 ， 并 用 LCS 破解 。 

(1) 选择 【开始 】|【 所 有 程序 】| 【附件 】| 【命令 提示 符 】 命 令 ， 在 弹出 窗口 中 输入 相 





51 9.10 所 示 执 行 Pwdump4 以 获取 其 他 主机 加 密 文件 pw-1。 





I ТУ 
xO 9.10 ”执行 Pwdump4 


(2) 执行 命令 完成 后 ， 启 动 LC5 作 相 关 设 置 ， 进 入 主 界面 并 运行 ， 按 图 9.11 所 示 新 建 
-个 破解 任务 。 
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8911 新 建 破解 任务 


(3) 选择 Session | Import 命令 ， 在 弹出 的 对 话 框 中 选中 From PWDUMP Ше 单 选 按 钮 ， 
单 击 Browse 按钮 ，i 选择 从 破解 的 加 密 密 码 文件 ， 如 图 9.12 一 图 9.14 所 示 。 
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Шке the Import menu а retrieve ncrnmats in adit. 
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(4) 完成 显示 ， 如 图 9.15 所 示 。 
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实 训 3: 木马 攻击 
实 训 目的 
本 实验 以 Nethief 一 一 木马 程序 为 例 ， 实 现 木 马 攻击 过 程 。 它 运用 另类 的 “反弹 端口 ” 
原理 由 服务 端 主动 连接 客户 端 ， 因 此 可 以 穿 过 防火 墙 (包括 包 过 滤 型 及 代理 型 防火 墙 )， 在 
Internet 上 就 可 以 访问 局 域 网 内 部 的 计算 机 。 实 验 目的 是 了 解 木 马 的 具体 运行 过 程 及 危害 性 。 
实 训 环境 
(1) 局 域 网 。 
(2) 实验 过 程 杀毒 软件 要 停止 运行 。 
(3) 两 台 计算 机 ， 其 中 一 台 安 装 Windows 2000 Serv 著 IIS 服务 器 ， 包 括 НТТР 
服务 和 FTP 服务 。 另 一 台 安装 Windows 2000 rt è Windows 2000 Servers 


(4) 黑客 软件 Nethief V5.3。 
实 训 内 容 %- 


通过 黑客 软件 Nethief V5.3 实施 АҚЫ йа. 
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图 9.16 运行 设置 向 导 图 9.17 FTP 服务 器 设置 


(3) 填写 以 下 的 个 性 化 设置 (默认 即 可 )， 它 将 决定 如 何 组 织 主 页 空间 的 文件 ， 如 图 9.18 
所 示 ， 确 认 无 误 后 ， 单 击 【下 一 步 】 按 钮 。 

(4) 继续 设置 主页 空间 ， 如 图 9.19 所 示 ， 确 认 无 误 后 ， 单 击 【 下 一 步 】 按 钮 。 

(5) 进行 数据 加 密 密 钥 生 成 密码 ， 密 码 设 为 “123”， 如 图 9.20 所 示 ， 确 认 无 误 后 ， 单 
击 【 下 一 步 】 按 钮 。 

(6) 单 击 【开始 测试 】 按 钮 ， 继 续 下 一 步 ， 如 图 9.21 所 示 。 
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图 9.18 主页 空间 设置 1 主页 空间 设置 2 
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Е 9.20 a un ж. 图 9.21 测试 主页 空间 
(7) Ma SA 】 按 钮 ， 如 图 9. :*， 单 击 【 确 定 】 按 钮 。 
(8) 如 图 933 所 示 ， 单 击 【 完 成 】 按 钮 。 





CEEE 到 | 


МЕЙ eiza 9:95. 
G) =леататя. 


CEN 
图 9.22 ”确定 设置 正确 图 9.23 完成 Nethief 设置 

(9) 如 图 9.24 所 示 ， 从 菜单 中 选择 【网 络 】|【 生 成 服务 端 】 命 令 ， 继 续 下 一 步 。 

(10) 单 击 【 生 成 】 按 钮 ， 如 图 9.25 所 示 。 


(п) 单 击 【确定 】 按 钮 ， 如 图 9.26 所 示 。 这 个 服务 器 端 程序 就 成 为 所 谓 “ 木 马 ”， 可 
以 将 它 捆绑 在 其 他 程序 中 传 给 被 攻击 计算 机 , 捆绑 文件 可 以 用 一 个 工具 exebuber 轻松 完成 。 




















































图 9.27 服务 器 端 主动 上 线 
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(13) 从 菜单 中 选择 【文件 】| 【文件 管理 器 】 命令, 可 看 见 IP 地 址 为 192.168.2.19 的 主 

机 (本 实验 过 程 中 192.168.2.2 是 攻击 者 计算 机 ，192.168.2.19 既是 FTP 服务 器 也 是 受 攻击 计 

算 机 ， 在 做 实验 时 可 以 把 受 攻击 计算 机 设 为 其 他 计算 机 )， 如 图 9.28 所 示 。 
IAD 
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(14) 用 户 可 以 对 受 攻击 计算 机 过 全 控制 (包括 文件 的 删除 与 修改 ), 如 图 9.29 所 示 。 
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图 9.29 对 受 攻击 计算 机 进行 文件 操作 
实 训 4: 高 级 扫描 器 x-way 的 测试 实验 
实 训 目的 
了 解 功能 较为 强大 的 扫描 软件 的 操作 方法 ， 用 来 测试 系统 存在 的 安全 漏洞 。 
实 训 环境 
(1) 局 域 网 。 
(2) 实验 前 要 停止 运行 杀毒 软件 。 
(3) 黑客 软件 x-way。 








网 络 安全 基础 教程 与 实 训 (第 3 №) 


实 训 内 容 


(1) 在 一 台 能 通过 了 地址 连接 到 目标 服务 器 的 客户 端 计算 机 上 安装 并 启动 x-way 软件 ， 
如 图 9.30 所 示 。 









БЕ 
4 NE 


жәй 


Mw. 


E 


Ton 


图 局 

(2) 预先 在 目标 计算 机 上 хазм 务 器， 为 测试 目的 ， 有 意 创建 一 个 设置 了 弱 口 令 

的 用 户 账户 yin， 用 x-way ПІ Бо FTP 3811 5, ші» 所 示 ， 显 示 口 令 是 123。 
(3) TEE H PRR EZR SQL Server 2. Зм 试 目的 ， 
123， 用 x-way ЖЕДЕЛ) 豆 亚 示 为 123， 
猜 解 机 
ШЕГЕ 
стан 


то аж 
ятан 
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99.31 猜 解 FTP 口令 8 9.32 ” 猜 解 SQL 账户 口令 











实 训 5: ан d 
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实 训 目的 
SYN Flood 利用 了 ТСРЛР 协议 的 固有 漏洞 。 面 向 连接 的 TCP 三 次 握手 是 SYN Flood 
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存在 的 基础 ，SYN Flood 攻击 者 不 会 完成 三 次 握手 。 本 实验 的 目的 是 用 SYN Flood 工具 对 
目标 计 算 机 发 起 DDoS 攻击 ， 观 察 攻击 的 结果 ， 了 解 DDoS 对 系统 的 威胁 。 
实 训 环境 
多 台 计 算 机 ， 安 装 Windows 2000 Professional 或 Windows 2000 Server。 








客 软件 xdos.exe。 
(3) 网 络 监听 软件 Sniffer Pro 4.7。 
实 训 内 容 
用 黑客 软件 xdos.exe 对 目标 计算 机 进行 拒绝 服务 攻击 并 运行 测试 。 
(1) #3 e, А 登录 到 Windows 2000, #[JTF Sniffer Pro, j2 Pro 中 配置 好 捕捉 从 
任意 主机 发 送 给 本 机 的 IP 数据 包 ， 并 启动 捕捉 进程， 如 < 










Т» 














图 9.33 RA 

(2) EHS 5- 登录 Windows S 打开 命令 行 提示 窗口 ， 运 行 xdos.exe， 命 令 的 
格式 :“xdos <РМ АЕ IP> 端口 号 -t 线程 数 [-s *< 插 入 随机 IP>’]”( 也 可 以 用 “xdos ?” 命 
令 查看 使 用 方法 )。 如 图 9.34 所 示 ， 输 入 xdos 192.168.2.10 80 -t 200 -s* 命 令 , 确定 后 即 可 进 
行 攻 击 ，192.168.2.10 是 计算 机 A 的 地 址 
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9.34 хаов 攻击 端 


(3) 在 A 端 可 以 看 到 计算 机 的 处 理 速度 明显 下 降 , 其 
Мар 中 看 到 大 量 伪造 IP 的 主机 请 求 与 A 计算 机 建立 











:瘫痪 死机 , YE Sniffer Pro 的 Traffic 
如 图 9.35 所 示 。 
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(4) B 停 止 攻击 后 , A 计算 机 快速 恢复 响应 。 打 开 捕捉 的 数据 包 ， 可 以 看 到 有 大 量 伪造 
ІР 地 址 的 主机 请 求 与 A 计算 机 连接 的 数据 包 , 且 都 是 只 请 求 不 应 答 ,以 至 于 A 计算 机 保持 
有 大 量 的 半 开 连接 , 运行 速度 下 降 直 至 瘫痪 死机 , 拒绝 为 合法 的 请 求 服务 , 如 图 9.36 所 示 。 
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图 9.36 捕捉 到 攻击 的 数据 包 
910 本 = 习题 
1. 填空 题 


() 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 通 过 使 用 它 并 记录 
反馈 信息 ， 可 以 不 留 痕迹 地 发 现 远程 服务 器 中 各 种 TCP 端口 的 分 配 。 
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(2) 是 一 个 程序 ， 它 驻 留 在 目标 计算 机 里 ， 可 以 随 目标 计算 机 自动 启动 并 在 
某 一 端口 进行 侦 听 ， 在 接收 到 攻击 者 发 出 的 指令 后 ， 对 目标 计算 机 执行 特定 的 操作 。 
(3) 就 是 利用 更 多 的 倪 儒 机 对 目标 发 起 进攻 ， 以 更 大 的 规模 进攻 受害 者 。 
2. 选择 题 
(D (  ) 一 般 由 控制 端 和 被 控制 端 两 个 程序 组 成 。 
А. 嗅 探 程序 B. 木马 程序 
C. 拒绝 服务 攻击 р. 缓冲 区 溢出 攻击 
(2) 字典 攻击 被 用 于 (。”)。 


А. 用 户 欺 骗 B. 远程 登录 с. 网 络 嗅 探 D. 破解 密码 
(3) С ERRI WebDAV 组 件 不 充分 检查 传递 给 则 组 件 的 数据 ， 远 程 攻击 者 

































































利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 。 


A. Office 2000 В. 155.0 gS 
3. 简 答题 S 
(1) 简 述 扫描 器 的 基本 原理 及 防范 RS 


(2) 密码 破解 有 哪 几 种 方式 ? 


(3) 缓冲 区 浇 出 对 网 络 安全 害 ? N. 
(4) 一 个 完整 的 木马 系 部 分 构成 ? 用 如 何 ? 
(5) 举例 说 明 特洛伊 7 击 的 危害 及 清除 


(6) 简 述 拒绝 pave V 
(7) б; 常用 攻击 方法 2 
Т 














nux D. Apache 











Y 教学 目标 ж 


通过 对 本 章 的 学 习 ， 读 者 应 了 解 VPN 作用 和 系统 特性 ， 理 解 VPN 的 隧道 技 
术 和 实现 方法 及 所 采用 的 协议 ， 掌 握 Š 统 的 VPN 协议 实现 方法 。 


МУ 教学 要 求 
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D ANVEN 的 系统 主要 特性 < | 
IT IIA SRE Windows ЖУ | 


PP2P, IKE, АН, ESP, SSL 协议 
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10.1 基本 概念 


VPN(Virtual Private Networl Momar 着 Internet 的 广泛 应 用 而 迅速 发 
展 起 来 的 一 种 新 技术 ， 是 在 上 构建 私人 :虚拟 ”主要 是 指 这 种 网 络 是 一 


种 逻辑 上 的 网 络 。 

VPN XHP Жақ ЗГЕ ШИТІ», НӨЛМЕН Y 一 条 专用 线路 在 自己 的 计算 
机 大 pi 络 之 间 ， 或 者 存 网 要 异地 的 内 部 网 络 之 间 建 立 连接 ， 以 进行 数据 的 
安全 传输 。 N 建立 在 公共 网 络 的 基础 上 ， 但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 用 
专用 网 络 进行 通信 ， 所 以 称 之 为 “虚拟 ”专用 网 络 ， 如 图 10.1 所 示 。 






























逻辑 等 同 网 
图 10.1 VPN 的 连接 示意 图 








EE 


10.2 VPN 的 系统 特性 


VPN 系统 的 功能 特性 可 以 概括 为 以 下 几 个 主要 方面 。 
1， 安 全 保障 


虽然 实现 VPN 的 技术 和 模式 很 多 ， 但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平台 传输 数 
据 的 专用 性 和 安全 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连接 ， 称 
为 建立 一 个 隧道 ， 可 以 利用 加 密 技术 对 经 过 隧道 传输 的 数据 进行 加 密 ， 以 保证 数据 仅 被 指 

定 的 发 送 者 和 接收 者 了 解 ， 从 而 保证 数据 的 私有 性 和 安全 性 。 在 安全 性 方面 ， 由 于 VPN 直 
接 构建 在 公用 网 上 ， 尽 管 实现 简 单 、 方 便 、 灵 活 ， 但 安全 保障 措施 也 更 为 重要 。VPN 必须 
CR FE 法 用 户 对 网 络 资源 或 私 













































































有 信息 的 访问 。Extranet VPN 将 企业 网 扩展 到 合作 伙 ; 对 安全 性 提出 了 更 高 的 要 求 。 








质量 保证 的 要 求 差别 较 大 。 对 于 移动 办 公 供 广泛 的 连接 和 禾 盖 性 是 保证 VPN 服务 





2. 服务 质量 保证 
VPN неа, 不 同 的 用 户 和 业务 对 服务 
Лу tet 
















质量 的 一 个 主要 因素 机 构 的 专线 VPN， 交 互 式 的 内 部 企业 网 应 用 则 
要 求 网 络 能 提供 良好 的 稳定 S 基 他 应 用 (如 视 则 对 网 络 提出 了 更 明确 的 要 求 ， 
如 网 络 延 时 及 误 码 率 等 。 所 存 络 应 用 均 要 求 需要 提供 不 同等 级 的 服务 质量 。 







在 网 络 优化 方面 ,构建 VPN 侈 另 一 重要 需求 是 
数据 提供 可 靠 的 带 觉 下 合流 量 : 


j 玫 地 利用 有 限 的 广域网 资源 ,为 重要 
5 带宽 的 利用 率 很 低 ， 在 流量 高 峰 时 容易 
引起 网 络 阻塞 ， 人 和 不 有 时 人 量 低谷 时 
Ул и АН 流量 预测 与 流量 控制 策略 ， 可 以 按照 优先 级 分 
2000 02 
3， 可 扩充 性 和 灵活 性 


VPN 必须 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 ， 方 便 增 加 新 的 结 点 ， 
支持 多 种 类 型 的 传输 媒介 ， 可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传输 及 
带宽 增加 的 需求 。 

4. 可 管理 性 

从 用 户 角度 和 运营 商 角度 方面 应 可 方便 地 进行 管理 、 维 护 。 在 VPN 管理 方面 ，VPN 要 
求 企 业 将 其 网 络 管理 功能 从 局 域 网 无 颖 阶地 延伸 到 公用 网 ， 甚 至 是 客户 和 合作 伙伴 。 虽 然 
可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ， 但 是 企业 自己 仍 需要 完成 许多 网 
络 管理 任务 。 所 以 ， 一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。 

VPN 管理 的 目标 : 减 小 网 络 风险 ， 使 其 具有 高 扩展 性 、 经 济 性 、 高 可 靠 性 等 优点 。 
实 上 ，VPN 管理 主要 包括 安全 管理 、 设 备 管理 、 配 置 管理 、 访 问 控制 列表 管理 、QoS 管理 
等 内 容 。 

5. 降低 成 本 


VPN 利用 现 有 的 Internet 或 其 他 公共 网 络 的 基础 设施 为 用 户 创建 安全 隧道 ， 不 需 
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门 的 租用 线路 ， 如 DDN 和 PSTN， 这 样 就 节省 了 租用 专门 线路 的 租金 。 如 果 是 采用 远程 拨 
号 进入 内 部 网 络 ， 访 问 内 部 资源 ， 需 要 长 途 话费 ， 而 采用 VPN 技术 ， 只 需 拨 入 当地 的 ISP 
就 可 以 安全 地 接 入 内 部 网 络 ， 这 样 也 节省 了 线路 话费 。 
































10.3 VPN 的 原理 与 协议 


虽然 VPN 技术 非常 复杂 ， 但 目前 实现 VPN 的 几 种 主要 技术 及 相关 协议 都 已 经 非常 成 
熟 ， 并 且 都 有 广泛 应 用 ， 尤 其 以 L2TP、IPSec 和 SSL 协议 应 用 最 为 广泛 ， 因 此 作为 本 节 的 
主要 内 容 。MPLS VPN 是 网 络 运营 商 提供 的 服务 ， рУ 


10.3.1 实现 VPN 的 隧道 技术 


为 了 能 够 有 在 公 网 中 形成 企业 专用 Өрде ч 用 了 所 谓 的 隧道 (Tunneling) 技 
Ж, 模拟 点 到 点 连接 技术 , 依靠 ISP 和 其 ЕД» 己 专用 的 “ 隧 
ің”, 让 数据 包 通 过 隧道 传输 。 
络 隧 道 技术 指 的 是 利用 一 种 网 
进行 再 次 封装 ， 并 在 两 个 端点 之 间 i 
























































SN -种 网 络 协议 ， 也 就 是 将 原始 网 络 信息 
互联 网 络 进行 路 由 ， 从 而 保证 网 络 信息 传输 的 
安全 性 。 它 主要 利用 网 络 隧道 关 现 这 种 功能 ,3 括 第 二 层 隧道 协议 (用 于 传输 二 
层 网 络 协议 ) 和 第 三 层 隧道 于 传输 三 层 网 

第 一 层 隧道 协议 是 链 路 层 进行 的 ; 种 网 络 协议 封装 到 PPP 包 中 ， 再 把 整 
个 数据 包装 入 隧 ; ， 这 种 经 过 两 ч 层 协议 进行 传输 。 第 二 层 隧 
道 协议 有 以 下 ! 

(1) РРТР(ЖЕС2637, алына тынды Protocol); 

(2) L2F(RFC2341, Layer 2 Forwarding)。 

(3) L2TP(RFC2661, Layer 2 Tunneling Protocol); 

第 三 层 隧道 协议 是 在 网 络 层 进行 的 ， 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数 
据 包 依靠 第 三 层 协议 进行 传输 。 第 三 层 隧道 协议 有 以 下 两 种 。 

(1) ІРес(ІР Security) 是 目前 最 常用 的 VPN 解决 方案 。 

(2) GRE(RFC 2784，General Routing Encapsulation)。 

隧道 技术 包括 了 数据 封装 、 传 输 和 解 包 在 内 的 全 过 程 。 

封装 是 构建 隧道 的 基本 手段 ， 它 使 得 IP 隧道 实现 了 信息 隐蔽 和 抽象 。 封 装 器 建立 封装 
报头 ， 并 将 其 追加 到 纯 数据 包 的 前 面 。 当 封装 的 数据 包 到 达 解 包 器 时 ， 封 装 报头 被 转换 区 
纯 报头 ， 数 据 包 被 传送 到 目的 地 。 

隧道 的 封装 具有 以 下 特点 。 

(1) 源 实体 和 目的 实体 不 知道 任何 隧道 的 存在 。 

(2) 在 隧道 的 两 个 端点 使 用 该 过 程 ， 需 要 封装 器 和 解 包 器 两 个 新 的 实体 。 

(3) 封装 器 和 解 包 器 必须 相互 知晓 ， 但 不 必 知道 在 它们 之 间 的 网 络 上 的 任何 细节 。 
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10.3.2 PPTP 协议 











点 对 点 隧道 协议 (Point-to-Point Tunneling Protocol, PPTP) 是 常用 的 协议 。 这 主要 是 因 
为 微软 的 服务 器 操作 系统 占有 很 大 的 市 场 份额 -PPTP 是 点 对 点 协议 (Point-to-Point Protocol, 
PPP) 的 扩展 ， 而 РРР 是 为 在 串 行 线路 上 进行 拨 入 访问 而 开发 的 。PPTP 是 在 1996 年 被 引入 
因特网 工程 任务 组 织 (Internet Engineering Task Force，IETF) 的 ， 它 在 Windows NT 4.0 中 就 
已 完全 实现 了 。PPTP 将 РРР 帧 封装 成 IP 数据 报 ， 以 便 在 基于 IP 的 互联 网 上 (如 因特网 ， 
或 一 个 专用 的 内 联网 ) 传 输 。 

PPTP 协议 是 一 个 为 中 小 企业 提供 的 VPN 解决 方案 ， 但 PPTP 协议 在 实现 上 存在 着 重 
大 安全 隐患 。 有 研究 表明 ， 其 安全 性 甚至 比 PPP 还 弱 ， 因 此 不 用 于 需要 一 定安 全 保证 的 通 
信 。 如 果 条 件 允 许 ， 用 户 最 好 选择 完全 替代 PPTP 的 下 < 协议 L2TP。 


10.3.3 L2F 协议 
L2F 是 Cisco 公司 提出 的 隧道 技术 。 作 为 а кі) ИЕ 将 


































































































拨号 数据 流 封装 在 PPP 帧 内 通过 广域网 链 路 L2F 服务 器 (路 由 器 )。L2F 服务 器 把 数 
据 包 解 包 之 后 重新 注入 网 络 。 \ 同 ，L2F 没有 确定 的 客户 方 。 应 3 
L2F 只 在 强制 隧道 中 有 效 。 





4 注意 ， 







10.3.4 І2ТР 协议 ЖЫ 
根据 ТЕТЕ ИЕИСИТДЕРУДІКГЕНА, tdk 设计 了 第 二 层 隧 道 协议 (Layer 2 


Tunneling Protocol，L2T :是 由 于 这 一 事实 年 开始 , 在 IETF 采纳 这 一 协议 之 前 ， 

微软 和 Cisco 就 一 直 >š L2TP 的 工 ТЕ. a 2ТР 结合 了 PPTP 和 Cisco 的 L2F 协议 。 
二 层 隧道 雪 议 是 基于 os 印 Pp) 的 。 在 由 L2TP 构建 的 VPN 中 ， 有 两 种 类 

型 的 服务 器 ， E gis 访问 集中 器 LAC(L2TP Access Concentrator )， 它 是 附属 在 网 络 


上 的 具有 РРР 端 系统 和 L2TP 协议 处 理 能 力 的 设备 ，LAC 一 般 就 是 一 个 网 络 接 入 服务 器 ， 
于 为 用 户 提供 网 络 接 入 服务 ; 另 一 种 是 L2TP 网 络 服务 器 LNS(L2TP Network Server), Ж 
PPP 端 系统 上 用 于 处 理 L2TP 协议 服务 器 端 部 分 的 软件 。 

L2TP 层 的 数据 传输 具有 非常 强 的 扩展 性 和 可 靠 性 。 控 制 消息 中 的 参数 用 AVP 值 对 
(Attribute Value Pair) 来 表示 , 使 得 协议 具有 很 好 的 扩展 性 ; 控制 消息 的 传输 过 程 中 应 用 了 消 
息 丢 失重 传 和 定时 检测 通道 连通 性 等 机 制 来 保证 L2TP 层 传输 的 可 靠 性 。 数 据 消息 用 于 承 
载 用 户 的 PPP 会 话 数据 包 。 

L2TP 构建 VPN 除了 上 述 的 优点 外 还 有 如 下 优势 。 


1. 灵活 的 身份 验证 机 制 及 高 度 的 安全 性 

L2TP 是 基于 PPP 协议 的 ， 因 此 它 除 继承 了 PPP 的 所 有 安全 特性 外 ， 还 可 以 对 隧道 端 
点 进行 验证 ， 这 使 得 通过 L2TP 所 传输 的 数据 更 加 难以 被 攻击 。 而 且 根据 特定 的 网 络 安全 
要 求 ， 还 可 以 方便 地 在 L2TP 上 采用 隧道 加 密 、 端 对 端 数据 加 密 或 应 用 层 数据 加 密 等 方案 
来 提高 数据 的 安全 性 。 

2. 内 部 地 址 分 配 支持 

LNS 可 以 放置 在 企业 网 的 防火 墙 之 后 ， 它 可 以 对 远 端 用 户 的 地 址 进行 动态 的 分 配 和 管 
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理 ， 可 以 支持 DHCP 和 私有 地 址 应 用 。 远 端 用 户 所 分 配 的 地 址 不 是 Internet 地 址 而 是 企业 
内 部 的 私有 地 址 ， 这 样 方便 了 地 址 的 管理 并 可 以 增加 安全 性 。 

3. 网络 计 费 的 灵活 性 

L2TP 能 够 提供 数据 传输 的 出 入 包 数 、 字 节 数 及 连接 的 起 始 、 结 束 时 间 等 计 费 数据 ， 
根据 这 些 数据 可 以 方便 地 进行 网 络 计 费 。 

4. TEE 

L2TP 协议 可 以 支持 备份 LNS, 当 一 个 主 LNS 不 可 达 之 后 , LAC 可 以 重新 与 备份 LNS 
建立 连接 ， 这 样 就 增加 了 VPN 服务 的 可 靠 性 和 容错 性 。 

5. 统一 的 网 络 管理 

L2TP 协议 将 很 快 成 为 标准 的 КЕС 协议 ， 有 关 L2TP 的 入 IB 也 将 很 快 得 到 制定 ， 
这 样 可 以 统一 地 采用 SNMP 网 络 管理 方案 进行 方便 与 管理 。 


10.3.5 IPSec 协议 x 
IPSec 是 一 个 第 三 层 VPN oa IP 公 网 的 安全 传输 。IPSec 可 有 


效 保护 卫 数据 报 的 安全 ， CN 式 包括 访问 控制 、 数 据 源 验 证 、 无 连接 数据 
x ІҢ 





























的 完整 性 验证 、 数 据 内 容 的 机 密 性 人 f 重 放 保护 等 。 
IPSec 在 任何 通信 开始 之 前 个 VPN 结 点 或 网 关 之 间 协商 一 个 安全 联盟 (SA)， 
安全 联盟 在 两 个 需要 保证 通 帮 次 全 的 设备 之 问 建 行 的 安全 通信 时 所 需要 的 参数 ， 


包括 是 否 加 密 、 是 否 进 秆 欠 证 斌 两 者 都 进行 ， 硬 撼 过 要 指明 端点 使 用 的 加 密 和 认证 协议 ， 
例如 ， 用 DES эмд Умр 进行 认证 。 在 践 法 中 使 用 的 密 钥 和 其 他 安全 参数 。SA 是 音 
ТЕПТІ GIRATI 交换 ， 就 要 有 两 个 SA。 

IPSec 主 疲 妥 人 (认证 头 ) 协 议 .ESP( 色 村 安全 载荷 | 协议 及 负责 密 钥 管 理 的 IKE( 因 特 网 
密 钥 交换 ) 协 议 给 成 ， 各 协议 之 间 的 关系 如 图 102 所 示 。 









IPSec 体系 


























| 加 密 算法 J [ 验证 算法 








解释 域 (DOD 


密 钥 管理 


图 10.2 IPSec 各 协议 之 间 的 关系 
(1) AH 为 IP 数据 包 提供 无 连接 的 数据 完整 性 和 数据 源 身份 认证 ， 同 时 具有 防 重 放 攻击 
的 能 力 。 数 据 完整 性 校 验 通 过 消息 认证 码 (如 MD5) 产 生 的 校 验 值 来 保证 ， 数 据 源 身份 认证 通 




















Fs з 


过 在 待 认 证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 ，AH 报头 中 的 序列 号 可 以 防止 重 放 攻击 。 

(2) ESP 为 卫 数据 包 提 供 数据 的 保密 性 (通过 加 密 机 制 )、 无 连接 的 数据 完整 性 、 数 据 
源 身份 认证 及 防 重 放 攻 击 保护 。 与 AH 相 比 ， 数 据 保密 性 是 ESP 的 新 增 功能 ， 数 据 源 身份 
认证 、 数 据 完整 性 检验 及 重 放 保 护 都 是 AH 可 以 实现 的 。 

(3) АН 和 ESP 可 以 单独 使 用 , 也 可 以 配合 使 用 。 通过 这 些 组 合 模式 , 可 以 在 两 台 主 机 、 
两 台 安全 网 管 (防火 墙 和 路 由 器 ) 或 者 主机 与 安全 网 关 之 间 配置 多 种 灵活 的 安全 机 制 。 

(4) 解释 域 (DOD 将 所 有 的 IPSec 协议 捆绑 在 一 起 ， 是 IPSec 安全 参数 的 主要 数据 库 。 

(5) 密 钥 管理 包括 IKE 协议 和 安全 联盟 (SA) 等 部 分 。IKE 在 通信 系统 之 间 建 立 安全 联 
盟 ， 提 供 密 钥 管理 和 密 钥 确 定 的 机 制 ， 是 一 个 产生 和 交换 密 钥 材料 并 协调 IPSec 参数 的 框 
架 。IKE 将 密 钥 协商 的 结果 保留 在 SA 中 ， 供 AH 和 ESP е ИИ 












































АН 和 ESP 都 支持 两 种 模式 ， 传 输 模式 和 隧道 模式 。 

(1) 传输 模式 的 IPSec 主要 对 上 层 协 议 提供 保护 ， 3 

(2) 隧道 模式 的 IPSec 提供 对 所 有 P 包 的 保护 < 在 站 用 于 安全 网 关 之 间 ， 可 以 在 公共 
Internet 上 构成 VPN。 使 用 隧道 模式 ， 在 防火 墙 刀 六 隐 网 络 上 的 一 组 主机 可 以 不 实现 IPSec 
而 参加 安全 通信 。 局 域 网 边界 的 防火 墙 或 安 会 吴 六 器 上 的 IPSec 软件 会 建立 隧道 模式 SA, 
主机 产生 的 未 保护 的 包 通过 隧道 连 到 外 部 

1. 认证 头 (AH) 协 议 

IPSec Ai УН TD знн ренга тия 
但 不 提供 数据 机 密 性 保护 , QH ық сі : 意 的 或 恶意 的 方式 改变 ， 而 认证 
则 是 验证 ЖЕН. HD. WAR. AH 为 IP 包 提供 尽 可 能 多 的 身份 认证 保 
护 ， 认 证 失败 的 僻 裂 尼 妖 弃 ， 不 交 给 上 导 锣 汉 y 信 种 操作 方式 可 以 减少 拒绝 服务 攻击 成 功 
的 机 会 。AH ENE IP MAA uE, Ea А М ОНА НА. АН 可 单独 使 用 ,也 可 以 和 ESP 
结合 使 用 。 

1) AH 协议 头 格式 

AH 协议 头 如 图 10.3 所 示 。 
下 一 个 类 | ane | яй 
安全 参数 索 中 (SPI，Security Paramters Index) 


个 主机 之 间 端 到 端的 通信 。 






























FF.#| АЗедиепсе Nunmber) 





认 让 数据 ( 变 长 Authentication Data) 








10.3 АН 协议 头 格式 


(D 下 一 个 头 是 一 个 8 位 字段 ， 识 别 在 АН 头 后 的 下 一 个 载荷 的 类 型 。 在 传输 模式 下 ， 
将 是 载荷 中 受 保护 的 上 层 协 议 的 值 , 比如 UDP 或 ТСР 协议 的 值 。 在 隧道 模式 下 , 表示 IPv4 
封装 时 ， 这 个 值 为 4; 表示 IPv6 封装 时 ， 这 个 值 为 41。 

(2) 载荷 长 度 是 一 个 8 位 字段 ， 表 示 AH 的 长 度 。 

(3) 保留 字段 是 一 个 16 位 字段 。 

(4) SPI 是 一 个 任意 的 32 位 值 ,和 外 部 卫 的 目的 地 址 一 起 用 于 识别 数据 报 的 安全 联盟 。 
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(5) 序列 号 为 32 位 字段 ， 是 一 个 单 向 递增 的 计数 器 。 

(6) 认证 数据 是 一 个 可 变 长 度 的 字段 ， 其 中 包括 完整 性 校 验 值 I1CV), 是 32 位 的 整数 倍 。 
2) AH 的 工作 模式 
AH 的 工作 模式 有 传输 模式 和 隧道 模式 两 种 。 
原始 他 包 如 图 10.4 所 示 。 


кмнені | TCP [数据 




















图 10.4 原始 IP 包 
(1) 传输 模式 的 AH 使 用 原来 的 他 报头 ， 把 AH 插 在 人 P 报 头 的 后 面 ， 如 图 10.5 所 示 。 
除了 可 变 字 段 以 外 都 被 认证 


















Гарно | Ан 





(2) 隧道 模式 的 АН 把 需要 保护 的 JP> 在 新 的 IP 包 中 ， 作 为 新 报 文 的 载荷 ， 然 后 
把 AH 插 在 新 的 IP 报头 的 后 面 ， 如 图 示 













J тага š 











ша 

ІН 10.7 ив IPSec 鉴别 服务 的 模式 。 一 种 情况 是 在 服务 器 和 客户 机 之 间 直 
接 提 供 鉴 别 服务 ， 工 作 站 可 以 与 服务 器 同 在 一 个 网 络 中 ， 也 可 以 在 外 部 网 络 中 。 只 要 工作 
站 和 服务 器 共享 受 保护 的 密 钥 ， 鉴 别处 理 就 是 安全 的 。 这 种 情况 使 用 了 传输 模式 的 SA。 另 
一 种 情况 是 远程 工作 站 向 公司 的 防火 墙 鉴别 自己 的 身份 ， 或 者 是 为 了 访问 整个 内 部 网 络 ， 
或 者 是 因为 请 求 的 服务 器 不 支持 鉴别 特征 。 这 种 情况 使 用 了 隧道 模式 的 SA。 




















图 10.7 ”两 种 使 用 IPSec 鉴别 服务 的 模式 
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2. 封装 载荷 (ESP) 协 议 


ESP 为 IP 数据 包 提 供 数据 的 保密 性 (加 密 )、 无 连接 的 数据 完整 性 、 数 据 源 身份 认证 及 
防 重 放 攻 击 保护 。 其 中 数据 保密 性 是 ESP 的 基本 功能 ， 而 数据 源 身份 认证 、 数 据 完整 性 检 
验 及 重 放 保 护 都 是 可 选 的 。 

1) ESP 协议 头 格式 

ESP 协议 的 头 格式 如 图 10.8 所 示 。 

















安全 参数 索 咱 (SPI，Security Parameters Index) 





FEB) *p(Sequence Number) 


载荷 数据 ( 变 长 Payload Data) Ж» 
келе таб x 
(70% 下 一 个 头 














认证 数据 ( 变 长 XAuthenticati "8, 















S sa 
(1) SPI 是 32 oie Bi 议 站 合 起 来 唯一 标识 处 理 数据 包 的 
了 标 主机 设 定 。SPI 经 过 验证 ， 但 是 不 


特定 SA。 数值 可 任 选 ， 过 程 
加 密 。 2А 
(2) НУІ; А аға. амина 对 序列 号 的 处 理由 接收 端 


确定 。 当 建立 A 时 ， 发送 者 和 接收 者 的 序列 号 都 设置 为 0。 如 果 使 用 抗 重 放 服务 ， 传 
送 的 序列 号 不 允许 循环 。 序 列 号 经 过 验证 ， 但 是 不 加 密 。 
(3) 载荷 数据 是 变 长 的 、 必 选 字段 ， 整 字 节 数 长 ， 包 含有 下 一 个 报头 字段 描述 的 数据 。 
加 密 同步 数据 ， 可 能 包含 加 密 算 法 需要 的 初始 化 向 量 GV)，IV 是 没有 加 密 的 。 
(4) 由 于 加 密 算 法 可 能 要 求 整数 倍 字 节 数 ， 而 且 为 了 保证 认证 数据 字段 对 齐 及 隐藏 载 
荷 的 真实 长 度 ， 实 现 部 分 通信 流 保密 ， 那 么 就 需要 填充 项 。 填 充 内 容 与 指定 提供 机 密 性 的 
加 密 算法 有 关 。 发 送 者 可 添加 0 一 255SB。 

(5) 填充 长 度 字段 是 一 个 必 选 字段 ， 它 表示 填充 字段 的 长 度 ， 合 法 的 填充 长 度 是 0 一 
255B, 0 表示 没有 填充 。 

(6) 下 一 个 头 是 8 位 长 的 必 选 字段 ， 表 示 在 载荷 中 的 数据 类 型 。 隧 道 模式 下 ， 这 个 值 
是 4， 表 示 ІР-іп-ІР; 传输 模式 下 是 载荷 数据 的 类 型 ， 由 КЕСІ700 定义 ， 如 TCP 为 6。 

(7) 认证 数据 是 变 长 的 可 选 字段 ， 只 有 SA 中 包含 了 认证 业务 时 ， 才 包含 这 个 字段 。 认 
证 算法 必须 指定 认证 数据 的 长 度 、 比 较 规 则 和 验证 步骤 。 
2) ESP 的 工作 模式 
ESP 的 工作 模式 也 包括 传输 模式 和 隧道 模式 两 种 ， 分 别 如 图 10.9 和 图 10.10 所 示 。 
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10.10 ESP 的 隧道 模式 
图 10.9 和 图 10.10 显示 了 使 用 IPSec ESP 服务 的 两 种 模式 。 图 10.9 直接 在 两 个 主机 之 
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SA 来 支持 ， 而 后 一 种 技术 使 用 了 隧道 模式 SA。 

















提供 加 密 (和 可 选 的 鉴别 ) 服 务 。 图 10.10 显示 了 怎样 使 用 隧道 模式 操作 来 建立 虚拟 专 
。 在 这 个 例子 中 , 一 个 组 织 有 4 个 专用 网 络 通过 Intemet 互相 连接 起 来 。 内 部 网 络 上 的 主 
机 使 用 Internet 是 为 了 传输 数据 ， 而 不 是 同 其 他 基于 Internet 的 主机 进行 交互 。 通 过 在 每 个 
内 部 网 络 的 安全 网 关上 终止 隧道 ， 允 许 主机 避免 实现 安全 能 力 。 前 一 种 技术 通过 传输 模式 


(Т) 传输 模式 的 ESP 用 于 对 IP 携带 的 数据 (如 TCP 报 文 段 ) 进 行 加 密 和 可 选 的 鉴别 ,名 
图 10.11 所 示 。 对 于 使 用 IPv4 的 情况 ，ESP 报头 被 插 在 IP 包 中 紧 靠 传输 层 报头 (如 TCP. 














UDP 和 ICMP) 之 前 的 位 置 , 而 ESP 尾部 (填充 、 填 充 长 度 和 下 个 报头 字段 ) 被 放置 在 IP 包 之 
后 ; 如 果 选 择 了 鉴别 服务 ， 则 ESP 鉴别 数据 字段 被 附加 在 ESP 尾部 之 后 。 整 个 传输 级 报 文 


段 加 上 ESP 尾部 被 加 密 ， 鉴 别 覆 盖 了 所 有 的 密 文 与 ESP 报头 。 
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图 10.11 ESP 传输 模式 

传输 模式 的 操作 可 以 总 结 如 下 。 

O 在 源 站 ， 由 ESP 尾部 加 上 整个 传输 级 的 报 文 段 组 成 的 数据 块 被 加 密 ， 这 个 数据 块 
的 明文 被 其 密 文 所 代替 ， 以 形成 用 于 传输 的 IP 包 。 如 果 “ 鉴 别 ” 选项 被 选中 , 还 要 加 上 鉴别 。 

© 然后 包 被 路 由 到 目的 站 。 每 个 中 间 路 由 器 都 需要 习 s. IP 报头 加 上 任何 明文 
的 中 扩展 报头 ， 但 是 不 需要 检查 密 文 。 
图 目的 结 点 检查 和 处 理 IP 报头 加 上 任何 明 3 < 展 报 头 。 然 后 ， 在 ESP 报头 的 
SPI 基础 上 ， 目 的 结 点 对 包 的 其 他 部 分 进行 解密 人 明文 的 传输 层 报 文 段 。 

D 传输 模式 操作 为 使 用 它 的 任何 应 用 如 t 了 机 密 性 , 因此 避免 了 在 每 一 个 单独 的 
应 用 程序 中 实现 机 密 性 ， 这 种 模式 的 操作 j 当 有 效 的 ， 几 乎 没有 增加 了 王 包 的 总 长 度 。 
这 种 模式 的 TS 计量 分 析 是 可 能 的 。 

ki FH 



































(2) 隧道 模式 的 ESP 用 于 包 进 行 加 密 ,x 关 全 10.12 所 示 。 在 这 种 模式 下 ， 先 
将 IP 数据 包 整 个 进行 加 密 允 е 报头 和 ESP 尾部 。 这 种 模式 可 以 
用 来 对 抗 通 信 量 分 析 。 
ҳо? 


















新 IP 报 头 ESP 鉴 别 





1012 ESP 的 隧道 模式 


因为 中 报头 中 包含 了 目的 地 址 、 可 能 的 源 站 路 由 选择 指示 和 逐 跳 选项 信息 ， 所 以 简单 
的 传输 前 面 附加 了 ESP 报头 加 密 的 IP 包 是 不 可 能 的 。 中间 的 路 由 器 不 能 处 理 这 样 的 包 , 因 
此 用 一 个 新 的 IP 报头 来 包装 整个 块 (ESP 报头 加 上 密 文 ， 再 加 上 可 能 存在 的 鉴别 数据 )， 这 
个 新 的 IP 报头 将 包含 用 于 路 由 选择 的 足够 信息 ， 但 不 能 进行 通信 量 分 析 。 

传输 模式 对 于 保护 两 个 支持 ESP 特征 的 主机 之 间 的 连接 是 合适 的 ， 而 隧道 模式 对 于 那 
些 包 含 了 防火 墙 或 其 他 种 类 的 安全 网 关 ( 用 于 从 外 部 网 络 保护 一 个 被 信赖 的 网 络 ) 的 配置 是 
有 用 的 。 在 后 一 种 情况 下 ， 加 密 只 发 生 在 外 部 的 主机 和 安全 网 关 之 间 或 者 在 两 个 安全 网 关 
之 间 ， 这 样 使 得 内 部 网 络 的 主机 解脱 了 处 理 加 密 的 责任 ， 并 且 通 过 减少 需要 密 钥 的 数量 而 
简化 了 密 钥 分 配 任务 。 而 且 它 阻碍 了 基于 最 终 目 的 地 址 的 通信 量 分 析 。 
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考虑 这 样 一 种 情况 : 外 部 主机 想 要 与 被 防火 墙 保护 的 内 部 网 络 上 的 主机 进行 通信 ， 并 
且 在 外 部 主机 和 防火 墙 上 都 实现 了 ESP. 当 从 外 部 主机 向 内 部 主机 传输 传输 层 的 报 文 段 时 ， 
其 步骤 如 下 。 

(1) 源 主 机 准备 目的 地 址 是 目标 内 部 主机 的 内 部 卫 包 .在 这 个 包 的 前 面 加 上 ESP 报头 ， 
然后 对 包 和 ESP 尾部 进行 加 密 并 且 可 能 增加 鉴别 数据 。 再 用 目的 地 址 是 防火 墙 的 新 的 IP JR 
头 对 结果 数据 块 进行 包装 ， 这 样 就 形成 了 外 部 的 耳 包 。 

(2) 外 部 包 被 路 由 到 目的 防火 墙 。 每 个 中 间 路 由 器 都 要 检查 和 处 理 外 部 ІР 报头 加 上 任 
何 外 部 IP 扩展 报头 ， 但 不 需要 检查 密 文 。 

(3) 目的 防火 墙 检查 和 处 理 外 部 IP 报头 加 上 任何 外 部 IP 扩展 报头 。 然 后 ， 在 ESP 报 
头 SPI 字段 的 基础 上 ， 目 的 防火 墙 对 包 的 剩余 部 分 进行 解密 ,以 恢复 明文 的 内 部 IP 包 。 然 


后 ， 这 个 包 在 内 部 网 络 中 传输 。 
(4) повинна газма аи 的 主机 。 


3. IKE ` 
在 IPSec fi — AUZA OB aE YA с SA 可 以 手工 建立 ， 也 可 以 自动 建立 。 
H 


当 用 户 数量 不 多 , (t 3690098 808364 以 手工 建立 SA。 但 当 用 户 较 多 ， 网 络 规 
模 较 大 时 , 就 应 该 选择 使 用 自 动 模式 就 是 IPSec 规定 的 - -种 用 来 自动 管理 SA 的 协议 ， 


包括 建立 、 协 商 、 修 改 和 删除 
ISAKMP. Oakelay 和 这 3 个 协议 构 的 基础 。IKE 沿用 了 ISAKMP 
的 基础 、Oakelay ER E 的 密 钥 5 7 定义 出 了 自己 独一无二 的 验证 加 密 材 
略 。 









































料 生成 技术 及 协商 

IKE iP 语言 来 定义 密 是 对 安全 服务 进行 协商 的 手段 。IKE 交换 的 
最 终结 果 Š 验证 的 密 钥 及 建立 各 双方 同意 基础 上 的 安全 联盟 (IPSec SA)» IKE 使 用 
TAa ISAKMP: 第 一 阶段 建立 IKE 的 SA; 第 二 阶段 利用 这 个 已 建立 的 SA 为 IPSec 
协商 具体 的 SA。 


10.3.6 SSLVPN 


就 在 当前 大 多 数 远 程 访问 解决 方案 是 利用 基于 IPSec 安全 协议 的 VPN 网 络 的 情况 下 ， 
一 项 最 新 的 研究 表明 , 近 90% 的 企业 利用 VPN 进行 的 内 部 网 和 外 部 网 的 连接 都 只 是 用 来 进 
47 Web 访问 和 电子 邮件 通信 ，10% 的 用 户 利用 诸如 聊天 协议 和 其 他 私有 客户 端 应 用 。 而 这 
些 90% 的 应 用 都 可 以 利用 一 种 更 加 简单 的 VPN 来 提供 更 加 有 效 的 解决 
方案 。 基 于 SSL 协议 的 VPN 远程 访问 方案 更 加 容易 配置 和 管理 ， 网 络 配置 成 本 比 起 目前 
主流 的 IPSec VPN 还 要 低 许 多 ， 所 以 许多 企业 已 经 开始 转 而 利用 基于 SSL 加 密 协 议 的 远程 
访问 技术 来 实现 VPN 通信 了 。 

1. SSLVPN 的 功能 

SSL 安全 协议 主要 提供 3 个 方面 的 服务 。 

1) 用 户 和 服务 器 的 合法 性 认证 

认证 用 户 和 服务 器 的 合法 性 ， 使 得 它们 能 够 确信 数据 将 被 发 送 到 正确 的 客户 机 和 服务 器 
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上 。 客 户 机 和 服务 器 都 有 各 自 的 识别 号 ， 这 些 识别 号 由 公开 密 钥 进 行 编 号 ， 为 了 验证 用 户 是 
否 合法 ， 安 全 套 接 层 协议 要 求 在 握手 交换 数据 时 进行 数字 认证 ， 以 此 来 确保 用 户 的 合法 性 。 
2) 加 密 数 据 以 隐藏 被 传送 的 数据 
安全 套 接 层 协议 所 采用 的 加 密 技 术 既 有 对 称 密 钥 技术 ， 也 有 公开 密 钥 技术 。 在 客户 机 
与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 , 在 SSL 握手 信息 中 采用 了 各 种 加 密 
技术 对 其 加 密 ， 以 保证 其 机 密 性 和 数据 的 完整 性 ， 并 且 用 数字 证 书 进行 鉴别 ， 这 样 就 可 以 
防止 非法 用 户 破译 。 
3) 保护 数据 的 完整 性 
安全 套 接 层 协 议 采 用 Hash 函数 和 机 密 共享 的 方法 提供 信息 的 完整 性 服务 , 建立 客户 机 
与 服务 器 之 间 的 安全 通道 ， 使 所 有 经 过 安全 套 接 层 协 议 处 理 的 业务 在 传输 过 程 中 能 全 部 完 
整 、 准 确 无 误 地 到 达 目 的 地 。 ж 

































































2. SSL VPN 的 工作 机 制 
SSL 包括 两 个 阶段 ， 握 手 和 数据 传输 。 在 握 生 阶段 ， 客 户 端 和 服务 器 用 公 钥 加 密 算法 
计算 出 私 钥 。 在 数据 传输 阶段 ， 客 户 端 和 服 分 器 莉 用 私 钥 来 加 密 和 解密 传输 过 来 的 数据 。 









NRR Eo SSL 的 服务 器 回应 一 个 类 似 Hello 的 消息 ， 


这 里 面 确 定 了 此 次 通信 所 需要 然后 发 送 自 г 22% 客户 端 在 收 到 这 个 消息 后 会 


生成 一 个 消息 ， 用 SSL JR 加 密 后 传送 SL 服务 器 用 自己 的 私 钥 解密 后 ， 
会 话 密 钥 协商 成 功 ， 双 帘 可 以 用 私 钥 算 法 来 进行 是 信 * 
服务 器 身份 的 一 台 一 般 第 三 方 作 为 CA， 生 成 证 书 ， 并 验证 它 


TORR 

HIENE. HARRE, ЛЕ ЫА ТОМА] CA 发 送 它 的 公 钥 。CA 生成 证 书 ， 包 括 
它 自己 的 人 D 滤 锭 器 的 ID、 服 务 器 的 公 钥 和 其 他 信息 ,然后 CA 利用 消息 摘要 算法 生成 证 
书 指纹 ， 最 后 ，CA 用 私 钥 加 密 指纹 生成 证 书签 名 。 

为 证 明 服 务 器 的 证 书 合法 ， 客 户 端 首先 利用 CA 的 公 钥 解密 签名 读 取 指纹 ， 然 后 计算 
有 务 器 发 送 的 证 书 指纹 ， 如 果 两 个 指纹 不 相符 ， 说 明证 书 被 算 改 过 。 当 然 ， 为 解密 签名 
客户 端 必须 事先 可 靠 地 获得 CA 的 公 钥 。 客 户 端 保存 一 个 可 信赖 的 CA 和 它们 的 公 钥 的 清 
单 。 当 客户 端 收 到 服务 器 的 证 书 时 ， 要 验证 证 书 的 CA 是 否 在 它 所 保存 的 清单 之 列 。CA 的 
数量 很 少 ， 一 般 通 过 网 站 公布 它们 的 公 钥 。 很 多 浏览 器 把 主要 的 CA 的 公 钥 直接 编 入 到 它 
们 的 源码 中 。 一 旦 服务 器 通过 了 客户 端的 鉴别 , 两 者 就 已 经 通过 公 钥 算法 确定 了 私 钥 信 息 。 
当 两 边 均 表示 做 好 了 私 钥 通 信 的 准备 后 ， 用 完成 (Finished) 消 息 来 结束 握手 过 程 ， 它 们 的 连 
楼 进 入 数据 传输 阶段 。 在 数据 传输 过 程 中 ， 两 端 都 将 发 送 的 消息 拆 分 成 片断 ， 并 附 上 
MAC( 散 列 值 )。 传 送 时 ， 客 户 端 和 服务 器 将 数据 片断 、MAC 和 记录 头 结合 起 来 并 用 密 钥 加 
密 形成 完整 的 SSL， 接 收 时 客户 端 和 服务 器 解密 数据 包 ， 计 算 MAC， 并 比较 计算 得 到 的 
MAC 和 接收 到 的 MAC。 

3. SSL VPN 的 主要 优势 和 不 足 


SSL VPN 就 像 任何 新 技术 的 产生 一 样 ， 相 对 传统 的 技术 肯定 会 存在 一 些 突出 的 优点 ， 
当然 不 足 之 处 也 是 存在 的 ， 下 面 就 分 别 予 以 介绍 。 
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1) SSL VPN 的 主要 优点 

目前 SSL VPN 技术 的 应 用 正 逐 渐 呈 上 升 趋 势 ， 下 面 从 几 个 主要 的 方面 介绍 这 种 VPN 
技术 的 优势 。 

(1) 无 须 安装 客户 端 软件 。 执 行 基于 SSL 协议 的 远程 访问 时 不 需要 在 远程 客户 端 设 备 
上 安装 软件 ， 只 需 通 过 标准 的 Web 浏览 器 连接 因特网 ， 即 可 以 通过 网 页 访问 到 企业 总 部 的 
网 络 资源 。 这 样 无 论 是 从 软件 协议 购买 成 本 上 ， 还 是 从 维护 、 管 理 成 本 上 都 可 以 节省 一 大 
笔 资金 ， 特 别 是 对 于 大 、 中 型 企业 和 网 络 服务 提供 商 而 言 。 

(2) 适用 于 大 多 数 设 备 。 基 于 Web 访问 的 开放 体系 在 运行 标准 的 浏览 器 下 可 以 访问 任 
何 设备 ， 包 括 非 传统 设备 ， 如 可 以 上 网 的 电话 和 PDA 通信 产品 。 这 些 产品 目前 正在 逐渐 普 
及 ， 因 为 它们 在 不 进行 远程 访问 时 也 是 一 种 非常 理想 的 现代 通信 工具 。 
(3) 适用 于 大 多 数 操作 系统 。 可 以 运行 标准 的 因特网 六 4 大 多 数 操作 系统 都 可 以 



































来 进行 基于 Web 的 远程 访问 ， 不 管 操作 系统 是 Wind cintosh, UNIX 还 是 Linuxo 
户 可 以 对 企业 内 部 网 站 和 Web СЕН А ТТК Ду 以 非常 容易 地 得 到 企业 内 间 


网 站 的 资源 ， 并 进行 应 用 。 
(4) 支持 网 络 驱 动 器 访问 。 用 户 通过 SSL 信 可 以 访问 网 络 驱动 器 上 的 资源 。 


(5) 良好 的 安全 性 。 用 户 通过 基于 Wewa eb 访问 时 访问 的 并 不 是 网 络 的 真实 结 点 ， 
像 IPSec 安全 协议 一 样 ， 而 且 SS 可 代理 访问 公司 的 内 部 资源 。 因 此 ， 这 种 方法 
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(6) 较 强 的 资源 控制 能 


资源 访问 控制 。 
(7) RORA j 的 VPN 网 络 
站 或 者 进行 E-maifs 弘 信和) 提供 的 非常 经 漆 丁 远 


(8) 可 以 火 墙 和 代理 服务 器 进 征 访问 。 基 于 SSL 的 远程 访问 方案 中 ,使 用 NAT( 网 
络 地 址 转换 ) 服 分 的 远程 用 户 或 者 使 用 因特网 代理 服务 的 用 户 可 以 从 中 受益 。 因 为 这 种 方案 
可 以 绕 过 防火 墙 和 代理 服务 器 访问 公司 资源 ， 这 是 采用 基于 IPSec 安全 协议 的 远程 访问 很 
难 或 者 根本 做 不 到 的 。 

2) SSL VPN 的 主要 不 足 之 处 

虽然 SSL VPN 技术 具有 很 多 优势 , 但 并 不 是 所 有 用 户 都 使 用 SSL VPN, 且 据 权威 调查 
机 构 调查 显示 , 目前 绝 大 部 分 企业 仍 采 用 IPSec VPN, 这 是 由 于 SSL VPN 仍 存在 不 足 之 处 。 
下 面 介绍 SSL VPN 的 主要 不 足 之 处 。 
(Т) 必须 依靠 因特网 进行 访问 。 为 了 通过 SSL VPN 进行 远程 工作 ， 必 须 与 因特网 保持 
连通 性 。 因 为 此 时 Web 浏览 器 实质 上 是 扮演 客户 服务 器 的 角色 , 远程 用 户 的 Web 浏览 器 依 
靠 公司 的 服务 器 进行 所 有 进程 工作 。 正 因 如 此 ， 如 果 因 特 网 没有 连通 ， 远 程 用 户 就 不 能 与 
总 部 网 络 进行 连接 ， 只 能 单独 工作 。 

(2) 对 新 的 或 者 复杂 的 Web 技术 提供 有 限 的 支持 。 基 于 SSL 的 VPN 方案 是 依赖 于 反 
代理 技术 来 访问 公司 网 络 的 。 因 为 远程 用 户 是 从 公用 因特网 来 访问 公司 网 络 的 ， 而 公司 内 
部 网 络 信息 通常 不 仅 处 于 防火 墙 后 面 ， 而 且 通常 处 于 没有 内 部 网 ІР 地 址 路 由 表 的 空间 中 
反 代理 的 工作 就 是 翻译 出 远程 用 户 Web 浏览 器 的 需求 ， 通 常 使 用 常见 的 URL 地 址 重 写 方 
法 。 例如 ， 内 部 网 站 也 许 使 用 内 部 DNS 服务 器 地 址 链接 到 其 他 的 内 部 网 链接 ， 而 URL 地 址 
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重 写 必须 完全 正确 地 读 出 以 上 链接 信息 , 并 且 重 写 这 些 URL 地 址 2. 
反 代 理 技术 获得 路 由 ， 当 有 需要 时 ， 远 程 用 户 可 以 轻松 地 通过 路 由 进入 公司 内 部 网 络 。 因 



































此 对 于 URL 地 址 重 写 器 ， 完 全 正确 理解 所 传输 的 网 页 结构 是 极其 重 ар 
确 显示 重 写 后 的 网 页 ， 并 在 远程 用 户 计算 机 浏览 器 上 进行 正确 的 操作 。 

© 只 能 有 限 地 支持 Windows 应 用 或 者 其 他 非 Web 系统 。 因 为 大 多 数 基于 SSL 的 VPN 
都 是 基于 Web 浏览 器 工作 的 ， 远 程 用 户 不 能 在 Windows, UNIX, Linux, А5400 或 者 大 型 
系统 上 进行 非 基 于 Web 界面 的 应 用 。 虽 然 有 些 提 供 商 已 经 开始 合并 终端 服务 来 提供 上 述 非 





只 有 这 样 才 可 正 









































Web 应 用 ， 但 不 管 如 何 ， 目 前 SSL VPN 还 未 正式 提出 全 面 支持 ， 这 一 技术 还 有 待 讨论 ， 也 
可 算是 4. 


方 的 某 个 应 用 通道 进行 加 密 ， 而 不 对 在 通 











С. WAN, E Web 页 面 中 呈现 的 文件 也 基本 无 法 
件 等 简单 的 文件 ， 这 样 就 很 难保 证 其 他 文件 不 被 紧 


© 只 能 为 访问 资源 提供 有 限 安 全 保障 。 当 使 用 基于 SSL 协议 
器 进行 时 ， 对 用 户 来 说 外 部 环境 并 不 是 完全 安全 的 、 
ТЫ PE 


VPN， 通过 Web 浏览 

- 颖 连接 的 。 因 为 SSL VPN 

:机 之 间 的 整个 通道 进行 加 

现 类 似 于 上 传 的 文件 和 邮件 附 
， 因 此 存在 一 定 的 安全 隐患 。 











4. SSLVPN 与 IPSec VPN 的 比较 列 ху 
# 10-1 是 SSL VPN 与 IPSec У құқ E 比 较 ， 从 表 中 可 以 看 出 各 自 的 主要 优势 与 









































不 足 。 
表 +71 біз VPN 5 IPSec РМЗ 能 比较 
选项 SSLVPN IPSec VPN 
第 项 身份 验证 таат 
е 双向 身份 验证 
身份 验证 | m a ж 数字 证 书 
[ame 强加 密 
Ы 基于 Web 浏览 器 依靠 执行 
网 络 边缘 到 客户 站 
全 程 安全 性 ICASE, y: 2 [B] i 
全 程 安全 性 ре ИРЕ 、 程 加 密 . 到 VPN 网 关 之 间 的 通 
可 访问 性 适合 于 任何 时 间 、 任 何 地 点 访问 适用 于 受 控 用 户 的 访问 
费用 低 (无 须 附加 任何 客户 软件 ) 高 (需要 管理 客户 端 软 件 ) 
зай 即 插 即 用 安装 通常 需要 长 时 间 的 配置 , 还 需要 窜 
无 须 安装 任何 附加 的 客户 端 软 、 硬 件 户 端 软件 或 者 硬件 
тете | 对 用 户 非 常 友好 ， 使 用 非常 悉 的 Web 浏览 器 | 对 没有 相应 技术 的 用 户 比 较 困 难 
用 户 的 易 使 用 性 | 无 须 终端 用 户 的 培训 需要 培训 
基于 Web 的 应 用 
支持 的 应 用 文件 共享 所 有 基于 P 协 议 的 服务 
E-mail 
用 户 客户 、 合 作 伙伴 用 户 、 远 程 用 户 、 供 应 商 等 | 更 适用 于 企业 内 部 
SEEKS 在 服务 器 端 容易 实现 自由 伸缩 , 在 
可 伸缩 性 容易 配置 和 扩展 раене 








第 10 章 VPN 技术 








由 于 企业 的 争 相 部 署 ，SSL VPN 已 经 取得 了 很 大 的 发 展 。 同 时 ， 由 于 NetScreen 等 公司 
都 已 将 该 技术 集成 到 s RP, BORET RER T iria —- Кро 28, ІН ОНЫН 
企业 各 自 的 管理 应 用 相 结合 。 另外 ,“ 加 密 远 程 访问 ”市 场 的 两 大 巨头 一 一 思科 和 Check Point 
也 将 加 入 该 市 场 ， 并 将 提供 基于 SSL 功能 的 IP 解决 方案 ， 如 网 络 、 电 子 邮 件 及 文件 共享 等 。 


10.3.7 Windows 2000 的 VPN 技术 















































І. Windows 2000 支持 的 数据 链 路 层 隧道 协议 


在 Windows 2000 中 ， 提 供 了 两 种 隧道 协议 ， 可 以 方便 地 创建 虚拟 专用 网 ; PPTP 和 附 
带 IPSec 的 L2TP。 

1) PPTP 

PPTP 是 在 Windows NT 4.0 中 就 有 的 VPN 协议 ， Е 
的 ， 它 提高 了 РРР 的 安全 级 别 ， 让 РРР 可 以 对 PPT $5 PPTP 客户 机 之 间 的 数据 进 
行 加 密 传输 (使 用 Microsoft 点 对 点 加 密 来 加 密 F 使 PPTP 服务 器 可 以 对 远程 用 户 
的 身份 进行 验证 (使 用 可 扩展 身份 验证 协议 ternet 本 身 只 允许 使 用 TCP/IP 通信 ， 
而 PPTP 解决 了 在 Internet ЕЛІ ЯҒЫ) 授信 的 问题 , PPTP 通过 将 IP, IPX 或 NetBEUI 
时 装 在 PPP mata x hipa 这 意味 着 可 以 远程 运行 依赖 特殊 网 络 协议 的 应 
用 程序 。PPTP 能 够 用 于 LAN ps nternet 以 及 其 他 基于 TCP/IP 的 网 络 。 具 体 的 过 程 
Ж. 一 个 PPTP ЖЗ ERRE- 隧道 ， 第 一 次 通过 PPP 协议 与 













































ISP 建立 连接 ， 第 二 的 PPP sa ERAR RI” Иа АКАН 
I PPTP 服务 器 的 拨号 仅 ША; 的 电话 ， 而 不 是 企业 内 部 电话 ， 节 
省 了 长 话费 - лара 7 如 果 客 户 机 直接 连接 到 IP 局 域 网 ， 并 且 和 
R 务 器 建立 了 连接 ， 就 可 以 通关 网 建立 PPTP 隧道 。 

2) 带 IPSec 的 L2TP 


带 IPSec 的 L2TP 是 Windows 2000 新 增加 的 隧道 协议 。 
L2TP 隧道 化 数据 包 格 式 如 图 10.13 所 示 。 








10.13 带 IPSec 的 L2TP 


这 里 L2TP 所 使 用 的 IPSec 策略 是 由 RAS 管理 服务 专门 创建 的 ， 而 不 是 使 用 默认 的 
IPSec 策略 或 某 个 用 户 所 创建 的 IPSec 策略 , 这 一 点 与 后 面 介 绍 的 Windows 2000 IPSec 策略 
在 使 用 模式 上 不 同 。 其 中 L2TP 负责 为 任何 类 型 的 网 络 通信 提供 封装 和 隧道 管理 ， 传 输 模 
式 的 IPSec 提供 L2TP 隧道 数据 包 的 安全 。L2TP 和 PPTP 的 功能 差不多 ， 是 PPTP 的 增强 
版 ，L2TP 加 强 了 РРР 身份 验证 和 压缩 机 制 。 与 PPTP 不 同 的 是 ，Windows 2000 中 的 L2TP 
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不 是 利用 Microsoft 点 对 点 加 密 (MPPE) 来 加 密 PPP |М. L2TP 依赖 于 网 际 协议 安全 (IPSec) 
的 加 密 服 务 ， 所 以 基于 L2TP 的 虚拟 专用 网 络 连接 是 L2TP 和 IPSec 的 组 合 。 所 连接 的 两 个 
网 络 中 的 VPN 服务 器 都 必须 支持 L2TP 和 IPSec。 IPSec 和 L2TP 结合 , 可 在 任何 卫 网 络 上 
H ІР. IPX 和 其 他 协议 包 提 供 基 于 隧道 和 安全 性 。IPSec 也 可 以 脱离 L2TP 单独 执行 ， 但 一 
般 只 在 某 个 路 由 器 不 支持 L2TP 和 PPTP 时 用 来 提供 互通 性 .L2TP 将 原始 数据 包 封 装 在 PPP 
帧 内 并 进行 压缩 , 在 UDP 类 型 的 数据 包 内 部 指派 端口 1701。 因为 UDP 数据 包 格式 是 全 包 ， 
所 以 根据 L2TP 隧道 的 用 户 配置 中 的 安全 设置 ，L2TP 自动 使 用 IPSec 保护 隧道 。 在 默认 情 
况 下 ，IPSec Internet 密 钥 交换 (IKE) 协 议 使 用 基于 证 书 的 身份 验证 来 协商 L2TP 隧道 的 安全 
性 。 此 验证 使 用 计算 机 证 书 而 不 是 使 用 用 户 证 书 来 验证 源 计算 机 和 目标 计算 机 之 间 的 信任 
关系 。 当 成 功 建立 IPSec 传输 安全 性 时 ，L2TP 将 协商 隧道 ， 包 括 压 缩 和 用 户 身份 验证 选项 
(通过 企业 内 部 的 安全 服务 器 , 如 RADIUS( 远 程 身份 验证 服务 ) 鉴 定 用 户 ) 及 执行 基 
于 用 户 标识 的 访问 控制 .因而 ,无 论 是 客户 远程 拨号 访 六 是 路 由 器 到 路 由 器 的 VPN 
隧道 , L2TP/IPSec 都 是 最 方便 、 最 灵活 、 互 通 性 最 为 安全 的 隧道 选项 。L2TP/IPSec 
VPN 远程 拨号 客户 可 使 用 “网 络 和 拨号 连接 ”控制 合 配 置 。VPN 远程 访问 服务 器 和 路 由 器 
到 路 由 器 隧道 可 使 用 “路 由 和 远程 访问 W 
2. Windows 2000 IPSec 策略 Хы 


Windows 2000 еен оом г 管理 避免 了 大 幅度 增加 管 
JH 











































































































































理 开销 ， 简 化 了 网 络 安全 性 | Da 
Windows 2000 IPSec j А айыл» 2000 服务 集成 ,建立 于 IETF IPSec 


结构 之 上 。 活 动 目 录 使 策略 为 Windows 成 员 提 供 IPSec 策略 指定 和 分 配 。 
中 基于 IETF 标 方法 ,用 以 在 计 算 机 之 问 建立 信任 关系 。 







IKE 的 实现 提供 中 3 

(D 基于 Xp 2000 的 域 基础 结构 要 供 的 Kerberos v5.0 身份 认证 方法 用 来 在 FF 
a 间 的 计算 机 中 配置 安全 通信 。 

(2) 公开 /私有 密 钥 使 用 与 包括 Microsoft、Entrust、VeriSign 和 Netscape 在 内 的 认证 系 
统 兼容 的 认证 进行 签名 。 

(3) 密码 和 预 共 享 身份 认证 密 钥 严格 地 用 在 为 应 用 程序 数据 包 保护 建立 的 信任 上 。 
- 旦 端 计算 机 之 间 通 过 了 相互 身份 认证 ， 它 们 会 为 加 密 应 用 程序 数据 包 的 目的 产生 整 
体 加 密 密 钥 。 这 些 密 钥 仅 被 这 两 台 计 算 机 知道 ， 所 以 它们 的 数据 被 很 好 地 保护 起 来 ， 防 止 
了 网 络 上 可 能 的 攻击 者 对 数据 进行 修改 或 翻译 。 每 端 使 用 IKE 协商 保护 应 用 程序 通信 所 使 
的 密 钥 的 类 型 和 强度 及 安全 性 类 型 。 这 些 密 钥 根据 IPSec 策略 设置 自动 刷新 。 

以 下 是 Windows 2000 中 预定 义 的 3 种 IP 安全 策略 ， 用 户 可 以 根据 实际 通信 需要 自行 
创建 新 的 IP 安全 策略 。 

1) 客户 端 (只 响应 ) 

这 是 一 个 计算 机 策略 示例 ， 其 根据 请 求 而 保护 通信 。 例 如 ，Intranet 客户 机 可 能 不 需要 
IPSec， 除 非 另 一 台 计算 机 发 出 请 求 。 该 策略 允许 其 活动 的 计算 机 正确 响应 安全 通信 请 求 。 
该 策略 包含 默认 响应 规则 ， 该 规则 根据 正在 保护 的 通信 的 请 求 协议 与 端口 通信 为 入 站 与 出 
站 通信 创建 动态 IPSec 筛选 器 。 

2) 服务 器 (请 求 安全 设置 ) 

这 是 一 个 应 该 在 多 数 情况 下 保护 通信 的 计算 机 策略 示例 ， 同 时 也 允许 与 不 支持 IPSec 


ап 

































































:= 


第 10 章 VPN 技术 


的 计算 机 进行 不 安全 通信 。 在 该 策略 中 ， 计 算 机 接受 不 安全 通信 ， 但 总 是 通过 从 原始 发 送 
方 那里 请 求 安全 性 来 试图 保护 其 他 通信 。 如 果 另 一 台 计 算 机 没有 启用 IPSec, 则 该 策略 允许 
整个 通信 都 是 不 安全 的 。 例 如 ， 人 允许 服务 器 以 不 安全 方式 通信 来 适应 组 合 客户 机 (有 些 客户 
机 支持 IPSec， 而 有 些 不 支持 IPSec) 时 ， 与 特定 服务 器 的 通信 可 以 是 安全 的 。 

要 测试 该 策略 的 使 用 情况 ， 必 须 把 该 策略 指派 给 服务 器 计算 机 ， 并 把 “客户 端 ( 只 响应 )” 
策略 指派 给 客户 端 计算 机 。 当 客户 端 计算 机 试图 与 服务 器 通信 时 , 服务 器 将 请 求 安全 的 通信 。 
此 外 ， 使 用 不 支持 IPSec 功能 的 计算 机 或 者 指派 了 任何 IPSec 策略 的 计算 机 尝试 与 服务 器 
通信 。 当 不 支持 IPSec 功能 的 客户 端 试 图 与 服务 器 通信 时 ， 服 务 器 将 请 求 安全 的 通信 。 但 
是 ， 协 商会 失败 ， 而 不 支持 IPSec 性 能 的 计算 机 会 通过 不 安全 通信 与 服务 器 建立 连接 。 

3) 安全 服务 器 (要 求 安全 设置 ) 

这 是 一 个 在 Intranet 上 要 求 进行 安全 通信 的 计算 机 策 tmnt 























服务 器 。 管 理 员 可 将 该 IPSec 策略 作为 示例 创建 自己 自 定义 IPSec 策略 。 在 该 
策略 中 使 用 的 筛选 器 要 求 对 所 有 出 站 通信 进行 保 执 许 不 保护 的 初始 入 站 通信 请 求 。 
要 测试 该 策略 的 使 用 情况 ， кез 


3. Windows 2000 SSL 


Microsoft Windows 2000 IIS st 匿名 访问 、 基 本 验证 和 Windows NT 请 求 /响应 
模式 外 ， 还 有 一 种 安全 性 更 高 的 V 通过 SSL(Seçurity Socket Layen) 安 全 机 制 使 用 数字 
证 书 。 4... hm 层 和 TCP ра 立 用 户 与 服务 器 之 间 的 加 密 通 
信 ， Ë 人 密 钥 基础 上 的 ， 任 何 用 户 都 可 以 
获得 公共 密 te Ж 数据 应 须要 应 的 私人 密 钥 。 使 用 SSL 安全 机 制 时 ， 首 
先 客户 端 与 服务 器 ? ,服务 器 把 它 诈 书 与 公共 密 钥 一 并 发 送 给 客户 端 ， 客 户 端 随 
机 生成 会 话 密 负 服务 器 得 到 的 公 对 会 话 密 钥 进行 加 密 ， 并 把 会 话 密 钥 在 网 络 上 传 
递 给 服务 器 ， 而 产 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 ， 这 样 ， 客 户 端 和 服务 器 端 就 建 
立 了 一 个 唯一 的 安全 通道 。 建 立 了 SSL 安全 机 制 后 ， 只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 
Web 站 点 进行 通信 ， 并 且 在 使 用 URL 资源 定位 器 时 ， 输 入 https://， 而 不 是 http://。 

















SH 应 用 案例 


VPN 典型 应 用 需求 
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10.16 VPN 连接 企业 内 部 网 络 计算 机 
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104 构建 VPN 的 解决 方案 与 相关 设备 


企业 构建 VPN 系统 要 涉及 很 多 因素 , 需要 结合 自身 应 用 需求 与 发 展 , 以 及 客观 环境 提 
供 的 条 件 ， 以 安全 、 经 济 、 实 用 、 可 靠 和 高 效 为 原则 ， 制 定 解决 方案 。 
企业 构建 VPN 时 ， 既 可 以 选择 硬件 VPN 方案 ,也 可 以 选择 软件 VPN 方案 。 由 于 VPN 
的 加 密 传输 机 制 需要 消耗 系统 性 能 ， 硬 件 VPN 将 加 密 和 解密 置 于 高 速 的 硬件 中 , 提供 了 较 
好 的 性 能 ; 硬件 VPN 可 以 提供 强大 的 物理 和 逻辑 安全 ， 更 好 地 防止 了 非法 入 侵 ,同时 配置 
和 操作 也 更 为 简单 。 一 般 情况 下 ， 硬 件 方案 的 价格 比较 高 。 对 于 中 小 型 网 络 应 用 来 说 ， 如 
果 网 络 规模 不 大 ， 最 好 选择 面向 中 小 企业 或 小 型 办 公 室 的 УРМ, о 






































1. 硬件 VPN 方案 K 

可 选 的 硬件 VPN 产品 主要 有 带 有 VPN 功能 % 路 由 器 或 专用 硬件 VPN 设备 。 
在 防火 墙 中 集成 VPN 是 比较 流行 的 解决 方案 。 许 多 企业 网 络 都 通过 防火 墙 来 连接 Internet, 
让 防火 墙 直接 支持 VPN 是 一 种 不 错 的 选择 wa 以 将 防火 墙 的 安全 策略 和 VPN 隧道 控 


К 








制 结合 起 来 ， 便 于 集中 管理 。 


但 这 种 组 合 应 用 可 能 会 影响 性 能 Xe 如 密 处 理 的 系统 开销 比较 大 。 路 由 器 是 一 种 最 常用 的 
网 络 边界 设备 ， 在 路 由 器 上 集 吕 


BKA. PERIIT D AKA VPN 相 比 ， 总 体 安 
全 性 要 差 一 些 。 也 有 许多 防 由 器 不 集成 ,这 就 需要 选择 专用 的 VPN 产品 。 


的 提高 和 宽带 网 的 痰 把 ，VPN 不 再 是 大 型 企业 的 专利 ， 越 来 
VPN 技术 实现 上 远程 互联 和 远程 用 户 的 接 入 访问 。 许 多 厂商 


и) ЗАМ 高 性 价 比 的 УРМ 产品 。 
此 类 са VPN 的 防火 墙 和 集成 VPN 的 路 由 器 , 有 时 称 为 “安全 路 由 器 ” 
或 “访问 路 由 器 ” 性 价 比 非常 高 ， 且 支持 多 种 宽带 接 入 方式 ， 还 提供 方便 的 管理 工具 ， 支 
持 主 流 的 VPN 协议 。 例 如 ，Cisco 1700 系列 访问 路 由 器 、Netgear FVL328、NetScreen-50、 
Vigor 系列 路 由 器 。 许 多 VPN 产品 还 支持 动态 IP 地 址 接 入 方式 , 对 于 采用 ADSL 连接 的 许 
多 中 小 型 企业 非常 有 用 。 由 于 此 类 产品 非常 丰富 ， 这 里 就 不 做 进一步 介绍 了 。 

2. 软件 VPN 方案 


软件 VPN 方案 的 价格 低廉 ， 且 更 具 灵 活性 ， 如 提供 了 更 加 方便 的 用 户 管理 ， 便 于 升级 
等 。 但 是 ， 在 性 能 、 安 全 性 、 可 靠 性 及 安装 和 管理 的 便捷 性 等 方面 ， 软 件 方案 都 不 如 硬件 
方案 。 软 件 VPN 方案 适用 于 安全 要 求 相对 较 低 、 规 模 较 小 的 网 络 ， 能 满足 许多 中 小 企业 的 
其 网 业务 需求 。 基 于 软件 的 产品 很 多 ， 从 单一 的 IPSec 软件 到 现 有 路 由 器 、 网 关 和 防火 墙 
中 的 各 种 数据 封装 产品 。 

软件 VPN 一 般 都 采用 Windows 操作 系统 来 实现 , 硬件 VPN 一 般 采 用 专用 操作 系统 来 
实现 。Windows 设计 上 就 是 桌面 办 公 系统 ， 如 果 采 用 Windows Sever 系统 ， 则 需要 消耗 大 
量 的 硬件 资源 。 

软件 VPN 采用 Windows 系统 作为 系统 的 根基 ， 其 可 靠 性 取决 于 安装 这 个 软件 的 PC。 
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这 在 一 定 程度 上 说 明了 软件 VPN 的 可 靠 性 是 不 可 控制 的 。 而 且 由 于 依赖 于 Windows 系统 ， 
系统 其 他 软件 导致 的 冲突 或 者 资源 占用 的 情况 也 会 对 VPN 的 可 靠 性 带 来 影响 .Windows 除 
内 核 外 还 包括 用 户 界面 (UD 及 大 量 的 应 用 软件 , 这 些 大 量 的 软件 、GUI 等 都 可 能 导致 更 多 的 
Windows 技术 漏洞 。 

实际 上 目前 许多 中 小 型 VPN 解决 方案 都 是 软 硬 件 相 结合 的 ， 以 现 有 网 络 设备 为 基础 ， 
再 配 以 适当 的 VPN 软件 来 实现 VPN。 

3. 微软 的 VPN 解决 方案 

在 纯 软件 VPN 解决 方案 中 , 最 为 常见 的 就 是 微软 的 解决 方案 。 微软 最 早 在 其 网 络 操作 
系统 Windows NT Server 4.0 中 开始 引入 PPTP. 首次 推出 的 PPTP 虽然 出 现 了 严重 的 安全 问 
题 ， 但 问题 并 非 源 于 PPTP 协议 本 身 ， 而 是 微软 对 这 个 协议 网 带 有 许多 缺陷 。 

微软 对 此 进行 重新 修改 后 , 接着 推出 了 路 由 与 远程 ; (RRAS), 作为 Windows NT 
Server 4.0 的 免费 组 件 ， 进 一 步 完善 了 PPTP 7 案 ， 支 持 请 求 拨 号 路 由 ， 并 提供 
基于 图 形 界 面 的 管理 工具 。 

微软 的 Windows 2000/2003 маршы T EWERS, PEAR TFHA A CHIER 
准 ， 而 是 全 面 支 持 IETF 标准 ， K 2 解决 方案 L2TP 和 IPSec， 可 实现 跨 平 台 的 
VPN 组 网 方案 。 


在 Windows 2000/2003 J| rB, 已 将 PPT TP 服务 器 都 纳入 路 由 和 远程 访 
问 服务 组 件 进行 统 Ta 使 得 实现 Келе Windows 2000/ХР 的 
IPSec 基于 策略 进行 配 四 和 管理 ， 支 持 传输 模式 。 当 然 ， 最 新 的 网 络 操作 系统 
Windows .NET Se екеін? 

至 于 案 ， Windotis 559 Я Windows МТ/2000 和 Windows ХР 都 支 


持 PPTP К: Храни Windows 2000 和 Windows ХР 支持 L2TP 和 IPSec， 现 在 微软 的 
L2TP/IPSec 客户 端 不 再 局 限于 Windows 2000/ХР, 最 新 发 布 的 Microsoft L2TP/IPSec VPN Client 
软件 包 ， 使 得 运行 Windows 98/Ме/ЧТ 的 计算 机 ， 都 可 以 创建 L2TP/IPSec 远程 访问 连接 。 
微软 的 Windows 2000/XP、Windows МЕТ Server 充分 利用 了 Active Directory 特性 来 简 
化 VPN 的 布置 和 管理 。 需 要 注意 的 是 ，Windows 操作 系统 并 不 是 一 个 专业 的 VPN 支持 系 
统 ， 因 此 在 很 多 方面 都 可 能 存在 漏洞 和 不 足 。 很 多 公司 都 在 致力 于 VPN 的 数据 加 密 和 系统 
的 开发 ， 并 有 自己 的 产品 。 要 构建 一 个 真正 的 、 高 安全 性 的 VPN， 还 是 应 该 使 用 VPN 专 
业 产 品 









































































10.5 本 章 小 结 


本 章 介绍 了 VPN 技术 的 基本 概念 、 系 统 特性 ， 比 较 详 细 地 讲述 了 企业 计算 机 网 络 实 
现 VPN 的 3 种 协议 ， 分 别 是 数据 链 路 层 隧 道 协议 РР2Р. І2Е 和 L2TP， 网 络 层 隧道 协议 
IPSEC, 安全 套 接 字 协议 SSL， 对 这 些 协议 数据 报 格式 和 协议 涉及 的 关键 技术 进行 了 分 析 
和 阐述 。 











第 10 章 VPN 技术 


10.6 本 章 实 训 


实 训 1: Windows 2000 的 数据 链 路 层 VPN 配置 


实 训 目的 

Windows 2000 支持 PPTP ЖІ L2TP 的 VPN 数据 链 路 层 隧道 协议 ， 在 Windows 2000 JIR 
务 器 端 通过 “路 由 和 远程 访问 ”就 能 创建 VPN 服务 器 ， 接 收 远 程 “ 虚 拟 专 用 连接 ”。 本 实 
验 的 基本 目的 如 下 。 
(1) 使 Windows 2000 计算 机 成 为 VPN 服务 器 。 Ж» 

















(2) 在 客户 端 和 VPN 服务 器 建立 安全 连接 。 
实 训 环境 


(1) 一 台 安 装 有 Windows 2000 Server 操作 把 统 的 计算 机 作为 VPN 服务 器 。 
(2) 一 台 安 装 有 Windows 2000 P ГІ 


实 训 内 容 SN 

1. 配置 PPTP 服务 端 

(D 首先 在 【管理 д, онікі 间 】 窗口， 然后 右 击 服务 器 名 称 ， 
选择 【配置 并 启用 路 访问 ] 命令 ， өрген 在 打开 的 安装 向 导 中 单 击 【 下 


DaM 22. x 
xo Шиа жн lle 1 | sog В 


РЕ Q) пәкевинияпвын 


жеккЕекаБИғ- AEREA Баал 
БА Шыт, енімен ініні 



















L= 
І І Т 











10.17 ”路 由 和 远程 访问 


(2) 在 弹出 的 对 话 框 中 选中 【虚拟 专用 网 络 (VPN) 服 务 器 】 单 选 按钮 ， 然 后 单 击 【下 一 
步 】 按 钮 ， 如 图 10.18 所 示 。 

(3) 在 【远程 客户 协议 】 对 话 框 中 选择 默认 设置 ， 然 后 单 击 【 下 一 步 】 按 钮 。 

(4) fE [IP 地 址 指定 】 对 话 框 中 选中 【来 自 一 个 指定 的 地 址 范围 】 单 选 按钮 ， 然 后 单 
击 【 下 一 步 】 按 钮 。 
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图 10.18 pga > 


(5) 在 【地 址 范围 指定 】 区 域 中 单 击 【 新 на 【新 建 地 址 范围 】 对 话 
框 ， 设置 【起 始 亿 地 址 】 为 pe М Ж “10.10.2.18”, ШІН 10.19 所 


示 ， 再 单 击 【确定 】 按 钮 返回 上 
此 时 可 看 到 地 址 范围 已 添加 成 吕 
(6) 在 【管理 多 个 远程 







R Эр] й. 
RI нЕ ы нен, A [F-J] = 
成 】 按 钮 ， a я СЕ. ТИС НЕА 


， 在 出 现 的 对 话 框 中 单 j 
如 图 10.20 А 
(7) $ i гейін ЖІП, 2 уде “个 用 户 “r_user”， 一 个 组 “r_userg”， 且 使 


r_user” laserg”. 
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图 10.19 设置 地 址 范围 


图 10.20 启动 VPN 服务 器 
(8) 再 回 到 【路 由 和 远程 访问 】 窗 口 ， 在 左 侧 的 窗 格 中 选择 【远程 访问 策略 】 选 项 ， 




















右 侧 的 窗口 会 默认 显示 【如 果 启 用 拨 入 许可 ,就 允许 访问 】 如 图 10.21 所 示 。 右 击 选 择 【 属 
性 】 命 令 ， 打 开 如 图 10.22 所 示 对 话 框 ， 单 击 【删除 】 按 钮 ， 删 除 默 认 条 件 ， 再 单 击 【 添 
加 】 按 钮 ， 打 开 【 选 择 属性 】 对 话 框 ， 选 择 Windows-Groups 选项 ， 单 击 【添加 】 按 钮 ， 如 
图 10.23 所 示 。 

(9) 在 【选择 组 】 对 话 框 中 ， 选 择 r userg 选项 ， 如 图 10.24 уто, АЧ 
到 【选择 组 】 对 话 框 ， 再 单 击 【确定 】 按 钮 。 
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10.22 ”授予 远程 访问 权限 10.23 ”添加 用 户 
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图 10.24 选择 要 添加 的 用 户 








222-2222 


(10) 回 到 【策略 】 设 置 对 话 框 ， 确 定 【如 果 用 户 符合 上 面 的 条 件 】 的 结果 为 【授权 远 
程 访问 权限 】 单 击 【 编 辑 配置 文件 】 按 钮 ， 即 可 进行 身份 验证 和 加 密 配 置 ， 如 图 10,25 和 
图 10.26 所 示 ， 然 后 单 击 【确定 】 按 钮 结束 配置 。 









10.25 ”编辑 配置 文件 


(11) 回 到 【网 络 和 拨号 连接 】 
户 端 建立 连接 ， 如 图 10.27 所 示 、 


图 10.26 ”选择 加 密级 别 
【 传 入 的 连接 】 图 标 ， 表 示 服 务 器 端 等 待 客 





10.27 ”显示 等 待 用 户 接 入 
(12) 如 图 10.28 所 示 ， 在 命令 提示 符 界面 ， 输 入 ipconfig/all 命令 可 以 看 到 其 网 卡 IP H 














址 和 新 建 的 WAN <PPP/SLIP> 地 址 ， 即 虚拟 专用 网 地 址 。 
2. 配置 PPTP 客户 端 


(1) 打开 【网 络 和 拨号 连接 】 窗 口 ， 双 击 【新 建 连接 】 图 标 ， 在 打开 的 【网 络 连 接 向 
导 】 对 话 框 中 单 击 【下 一 步 】 按钮 ,在 弹出 的 对 话 框 中 选中 【通过 Internet 连接 到 专用 网 络 】 
单 选 按钮 ， 然 后 单 击 【 下 一 步 】 按 钮 ， 如 图 10.29 所 示 。 
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(2) 如 图 10.30 所 示 ， 输 入 VPN 服务 器 的 人 P 地 址 ， 然 后 单 击 【 下 一 步 】 按 钮 。 
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10.30 输入 VPN 服务 器 的 IP 地址 
(3) 在 如 图 10.31 所 示 的 对 话 框 中 保持 默认 设置 ,然后 单 击 【 下 一 步 ] 按钮 。 在 【Internet 
连接 共享 】 对 话 框 中 也 保持 默认 设置 ， 单 击 【 下 一 步 】 按 钮 。 
) 如 图 10.32 所 示 , 在 此 处 可 修改 连接 名 称 , 然后 单 击 【 完 成 按钮 结束 客户 端 配置 


网 络 连接 向 导 


图 10.29 客户 端 创建 VPN 连接 






























完成 网 络 连接 向 导 





可 用 连接 
你 可 以 化 话 所 有 用 户 使 用 新 连接 ， 或 只 是 自己 使 用 。 
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T 在 项 的 点 而 上 条 划一 快 搜 方式 人 
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(5) 在 【网 络 和 拨号 连接 】 窗 口中 ， 双 击 所 建 的 连接 图 标 ， 如 图 10.33 所 示 。 

(6) 在 弹出 的 对 话 框 中 ， 输 入 用 户 名 和 密码 ， 单 击 【连接 】 按 钮 (如 图 10.34 所 示 )， 开 
始 与 服务 器 建立 连接 ， 如 图 10.35 所 示 。 

(7) 连接 完成 ， 单 击 【 确 定 】 按 钮 ， 如 图 10.36 所 示 。 

(8) 如 图 10.37 所 示 ， 在 客户 端 上 ping 服务 端的 IP 地 址 成 功 。 
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图 10.35 等 待 VPN 连接 
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图 10.36 显示 VPN 连接 成 功 
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图 10.37 测试 VPN 
< 
实 训 2: Windows 2000 IPSec VPN 协议 配置 е 


实 训 目 的 

Windows 网 际 协议 安全 (IPSec) 是 хад) S 专用 网 络 及 外 部 (Intemet、 外 部 网 ) 攻 
2... 当 数 据 在 两 台 计 和 A у, IPSec 可 以 对 数据 进行 加 密 ， 即使 网 络 上 
有 人 会 看 到 ， 1. k PE 本 实验 的 AW J 是 通过 IP 安全 策略 管理 单元 所 
创建 的 策略 а. H күй 24.) ІРбес);; 5% 

实 训 环境 ` ұй» 
两 台 安装 Windóws 2000 系统 的 计 HN хх 
зу пау? Ж 
配置 并 启用 "Windows 2000 安全 器 的 IPSec 协议 ， 并 进行 安全 通信 测试 。 
(1) 在 【本 地 安全 设置 】 窗 口中 选择 【IP 安全 策略 】 选 项 ， 双 击 【 安 全 服务 器 】 选 项 ， 


打开 图 10.38 所 示 对 话 框 。 
(2) 单 击 【编辑 】 按 钮 ， 选 择 【身份 验 

















方法 】 选 项 卡 进行 编辑 ， 如 图 10.39 所 示 。 
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图 1038 【安全 服务 器 (需求 安全 设置 ) 属 性 】 对 话 框 图 10.39 【编辑 规则 属性 】 对 话 框 
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(3) 单 击 【 确 定 】 按 钮 ， 将 4 











选中 【此 字 串 用 














оо жр Сызат ап, трка 
ЖІ 485, ШІН 1041 所 示 。 





b 现 【身份 验证 方法 属性 】 对 话 框 ， 如 图 10.40 所 示 。 然 后 


来 保护 密 钥 交 换 ( 预 共享 密 钥 )】 单 选 按钮 ， 然 后 单 击 【 确 定 】 按 钮 。 


身份 验证 方法 感性 


EIE) 
аввала | 
a 身价 益 证 方法 指定 了 计算 机 间 各 何 津 立 仿 任 。 
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图 10.40 
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EEES KASE 1017 
图 10.41 对 安全 服务 器 进行 指派 





(5) 客户 端 登录 FTP 服务 器 时 输入 的 用 户 名 和 密码 ， 通 过 【Microsoft 网 络 监视 器 】 捕 
获 的 结果 如 图 10.42 和 图 10.43 所 示 。 


(6) 客户 端 访问 WWW 服务 器 时 获得 的 页 面 信 息 ， 通 过 【Microsoft |4251 





ТЕЛГӘ ELEN 


看 到 其 中 的 明文 信息 “This is a IPSec Policy test page”， 如 图 10.44 所 示 。 


IPSec 后 ， 通 过 【Microsoft 网 络 监视 器 】 捕 获 的 结果 ， 如 图 10.45 所 示 ， 只 
H ESP 协议 的 密 文 信息 ， 看 不 到 明文 。 
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图 10.44 Microsoft 网 络 监视 器 捕获 的 HTTP 数据 包 
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.填空 是 
(1) VPN 实现 在 ? а Е Әу 
(2) 指 I 是 -种 网 络 协议 传 ТТ 也 就 是 对 原始 网 络 信息 进行 
再 次 封装 ， 并 在 Sha 更 ws 从 而 保证 网 络 信息 传输 的 安全 性 。 
(3) ta 连接 提供 和 а 
2; неса 
(1) IPSec 是 ( )VPN 协议 标准 。 
А. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
(2) IPSec 在 任何 通信 开始 之 前 ， 要 在 两 个 VPN 结 点 或 网 关 之 间 协商 建立 (。 )。 
A. IP 地址 B. 协议 类 型 C. 端口 р. 安全 联盟 (SA) 
(3) ( Æ 1РЅес 规定 的 一 种 用 来 自动 管理 SA 的 协议 ， 包 括 建立 、 协 商 、 修 改 和 删 
除 SA 等 。 
A. IKE B. AH C. ESP D. SSL 
з. Ем 
(1) 什么 是 VPN? VPN 的 系统 特性 有 哪些 ? 


(2) IPSec 协议 包含 的 各 个 协议 之 间 有 什么 关系 ? 

(3) 说 明 AH 的 传输 模式 和 隧道 模式 ， 它 们 的 数据 包 格式 是 什么 样 的 ? 

(4) 说 明 ESP 的 传输 模式 和 隧道 模式 ， 它 们 的 数据 包 格式 是 什么 样 的 ? 

(5) IKE 的 作用 是 什么 ? SA 的 作用 是 什么 ? 

(6) SSL 工作 在 哪 一 层 ? 工作 原理 是 什么 ? 对 SSL VPN 与 IPSec VPN 进行 简单 的 比较 。 
(7) L2TP 协议 的 优点 是 什么 ? 
























































实 训 题目 ЖЫ; 

Windows SSL 协议 配置 。 <S 

实 训 目的 > 

SSL 是 使 用 公 钥 和 私 钥 技术 组 络 通信 协议 ， 可 以 实现 客户 机 和 服务 器 的 双 
向 身份 认证 和 数据 的 机 密 性 。 涉及 密码 学 的 应 用 SIntemet 服务 的 安全 性 、 操 作 系统 
安全 配置 、VPN 技术 和 网 名 术 等 内 容 ， 训 。 本 实 训 的 目的 是 通过 正确 
配置 并 实现 SSL mt 服务 器 的 ， 从 而 理解 密码 技术 在 网 络 安全 系统 
构建 中 的 作用 ， Bi ”掌握 SSL УРМ 的 配置 方法 。 

实 训 环 Ж 


两 台 安 装 Windows 操作 系统 的 计算 机 ， 其 中 一 台 必 须 安 装 Windows Server 2000 或 
Windows Server 2003 服务 器 ， 并 且 安 装 证 书 服务 。 


实 训 内 容 


在 Windows 环境 下 配置 并 实现 SSL 协议 ,包括 用 服务 器 端 和 客户 端 设置 及 SSL 测试 。 

1) SSL 服务 器 端的 设置 

(1) 进入 【Internet 服务 管理 器 】 窗 口 ， 创 建 一 个 名 为 “123” 的 Web 站 点 。 

站 点 创建 好 以 后 ， 右 击 123 选择 【属性 】 命令 , 打开 【属性 】 对 话 框 ， 如 图 11.1 所 示 。 
单 击 【 服 务 器 证 书 】 按 钮 ， 弹 出 图 11.2 所 示 的 对 话 框 。 

(2) 选中 【创建 一 个 新 证 书 】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ， 出 现 图 11.3 所 示 的 界 
面 ， 单 击 【 下 一 步 】 按 钮 ， 出 现 图 11.4 所 示 的 对 话 框 。 

(3) 单 击 【下 一 步 ] 按 钮 生成 一 个 证 书 申请 文件 。 在 浏览 器 上 打开 http://192.168.2.19/certsrv 
(假设 Web 站 点 的 也 地 址 为 192.168.21.9)， 将 出 现 申 请 证 书 界面 ， 如 图 11.5 所 示 。 选 中 【申请 
证 书 】 单 选 按钮 ， 单 击 【 下 一 步 】 按钮 ， 如 图 11.6 所 示 ， 选 中 【高 级 申请 】 单 选 按钮 ， 单 击 【 下 
一 步 】 按 钮 。 
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11.1 配置 服务 器 证 书 А, 创建 新 证 书 
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图 11.5 ”访问 证 书 服务 器 图 11.6 选择 申请 类 型 




















(4) 选中 【使 用 base64 编码 的 PKCS #10 文件 提交 一 个 证 书 申请 ， 或 使 用 base64 编码 
的 PKCS #7 文件 更 新 证 书 申请 。】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ， 如 图 11.7 所 示 。 打 开 
在 C 盘 的 生成 文件 (图 11.4)， 全 选 后 并 复制 ， 如 图 11.8 所 示 。 
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图 11.7 申请 高 级 证 书 


11.8 ,打开 证 书 请 求 文件 
(5) 把 证 书 请 求 文件 粘贴 在 申请 栏 内 ， 如 图 11.9 所 示 提交 】 按 钮 ， 如 图 11.10 
所 示 。 
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图 11.9 把 证 书 请 求 文件 粘贴 在 申请 栏 图 11.10 ”提交 证 书 请 求 


(6) 在 【开始 】 菜 单 中 选择 【证 书 颁发 机 构 】 命 令 ， 在 弹出 窗口 的 左 侧 窗 格 
定 申请 】 选 项 ， 把 刚才 主机 申请 的 证 书 颁发 
选中 【检查 挂 











P 选 择 【 待 
给 它 ， 如 图 11.11 所 示 。 返 回 申请 证 书 主页 ， 
忆 的 证 书 】 单 选 按钮 ， 单 击 【下 一 步 】 按 钮 ， 如 图 11.12 所 示 。 
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В 11.11 在 证 书 服务 器 上 颁发 SSL 服务 器 证 书 图 11.12 ”检查 挂 起 的 证 书 





ЕЕЕ 


(7) 选择 要 检查 的 证 书 申请 ， 单 击 【下 一 步 】 按 钮 ， 如 图 11.13 所 示 。 选 中 【Base 64 
编码 】 单 选 按钮 ， 单 击 【下 载 CA 证 书 】 链 接 ， 如 图 11.14 所 示 。 

(8) 命名 证 书 并 保存 ， 如 图 11.15 所 示 。 回 到 【Internet 服务 管理 器 】 窗 口 ， 选 择 打开 
【123 属性 】 对 话 框 ， 打 开 【 目 录 安 全 性 】 选 项 卡 ， 单 击 【 服 务 器 证 书 】 按 钮 ， 选 中 【处 理 
挂 起 的 请 求 并 安装 证 书 】 单 选 按钮 ， 选 择 证 书 文件 要 保存 的 位 置 和 名 称 ， 完 成 安装 ， 如 
图 11.16 所 示 。 

(9) 切记 不 能 忽略 在 服务 器 端 还 要 安装 CA 的 证 书 路 径 , 在 图 11.17 所 示 页 面 中 单 击 【 检 
索 CA 证 书 或 证 书 吊销 列表 】 链 接 ， 并 选择 安装 此 CA 证 书 路 径 。 
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В 11.15 保存 CA 颁发 给 服务 器 的 证 书 图 11.16 完成 证 书 安装 
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图 11.17 安装 CA 的 证 书 路 径 
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(10) 回 到 【Internet 服务 管理 器 】 窗 口 ， 设 置 123 站 点 属性 ， 其 中 SSL 端口 为 443， 如 
图 11.18 所 示 。 在 图 11.18 所 示 对 话 框 中 的 【目录 安全 性 】 选 项 卡 中 打开 【安全 通信 】 对 话 
框 ， 按 图 11.19 所 示 进 行 配置 。 












































2) 设置 浏览 器 客户 端 
(1) 浏览 器 客户 端 同样 要 到 网 兴 -KE 书 服务 器 中 申 
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Гая) sa j A) 
图 11.18 设置 SSL 端口 SS 图 11.19 配置 安全 通信 


请 证 书 ， 如 图 11.20 所 示 ， 进 入 申请 
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图 11.20 ”浏览 器 客户 端 申请 证 书 
(2) 单 击 【 下 一 步 】 按 钮 ， 选 中 【用 户 证 书 申请 】 单 选 按钮 ， 选 择 【Web 浏览 器 证 书 】 
选项 ， 如 图 11.21 所 示 。 填 写 好 需要 的 名 称 ， 等 待 证 书 的 颁发 ， 如 图 11.22 所 示 。 
(3) 等 待 证 书 服务 器 颁发 证 书 ， 如 图 11.23 所 示 。 
(4) 回 到 证 书 服务 器 ， 颁 发 浏览 器 申请 的 证 书 ， 操 作 方法 同 前 。 返 回 浏览 器 客户 端 ， 
再 次 连接 证 书 服务 器 主页 ， 选 中 【检查 挂 起 的 证 书 】 单 选 按钮 ， 单 击 【 下 一 步 】 按 钮 ， 如 
图 11.24 所 示 。 用 默认 设置 不 变 ， 单 击 【下 一 步 】 按 钮 完成 浏览 器 证 书 的 安装 ， 如 图 11.25 
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11.23 ”等 待 服务 器 颁发 证 书 


(5) 安装 Web 浏览 器 证 书 部 分 完毕 , 返回 ,在 图 11.24 所 示 界 面 中 选中 【检索 CA 证 书 
或 证 书 吊销 列表 】 单 选 按钮 ， 单 击 【下 一 步 】 按 钮 ， 进 入 图 11.26 所 示 的 界面 ， 单 击 【 安 
装 此 CA 证 书 路 径 】 超 链接 ， 图 11.27 显示 CA 证 书 已 经 安装 完毕 。 
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图 11.24 浏览 器 端 检查 证 书 服务 器 颁发 给 自己 的 证 书 11.25 ”显示 证 书 服务 器 颁发 的 证 书 





第 11 章 综合 实 训 
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图 11.26 检索 CA 证 书 并 安装 此 CA 证书 图 11.27 KA Ee 


(6) 以 http:// 的 方式 访问 站 点 123， 出 现 图 11.28 А4 i IRo DÁ https:// 的 方式 访问 站 
гара `. ñ 示 。 
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E 11.28 以 http:// 的 方式 访问 站 点 123 图 11.29 以 https:// 的 方式 访问 站 点 123 
(7) 用 SSL 加 密 后 通过 网 络 监视 器 捕获 的 加 密 帧 ， 如 图 11.30 所 示 。 
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图 11.30 用 SSL 加 密 后 通过 网 络 监视 器 捕获 的 加 密 帧 
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实 训 总 结 


本 实验 要 求学 生 首先 要 了 解密 码 学 的 概念 ， 熟 悉数 字 证 书 的 作用 ， 并 在 Windows 服务 
器 上 安装 和 应 用 数字 证 书 服务 ， 为 Web 服务 器 和 浏览 器 颁发 数字 证 书 ， 从 而 实现 具有 认证 
和 保密 作用 的 安全 Web 服务 。 结 合 网 络 监听 工具 可 以 捕获 并 分 析 Web 应 用 在 使 用 SSL 协 
议 前 后 的 不 同 的 报 文 ， 从 而 认识 SSL 的 安全 性 。 
























































